过去几年,被指为中国情报机构工作的网络攻击者通过云服务供应商从数十家公司窃取了大量知识产权、安全许可信息和其他记录,这是有史以来规模最大的商业间谍活动之一。
他们侵入相关系统,这些系统中有矿业公司力拓(Rio Tinto PLC)的勘探机密,还有电子和医疗巨头飞利浦(Philips NV)的敏感医学研究信息。
黑客似乎无处不在
黑客是通过云服务供应商入侵的,而企业原本认为自身数据存储在这些供应商那里是安全的。这些黑客一旦侵入,就可以自由及匿名地从一个客户跳到另一个客户,令调查人员多年来想将他们赶出去的尝试受挫。
网络安全调查人员2016年首次确认了这一黑客攻击的相关情况,首先发现这一攻击的安全研究人员将其称为“云端跳跃”(Cloud Hopper)。美国检方去年12月指控两名中国公民参与了这一全球行动。这两人仍逍遥法外。
《华尔街日报》(The Wall Street Journal)的一项调查发现,这一攻击比之前所知的要大得多。其范围远远超出起诉书中列出的14家未具名公司,涉及至少12家云提供商,包括加拿大最大云公司之一CGI Group Inc.、芬兰主要信息技术服务公司 Tieto Oyj 和美国 International Business Machines Corp. (IBM)(简称IBM)。
通过对十几位参与调查人员的采访、对成百上千页企业内部文件和调查资料以及与网络入侵相关技术数据的查看,《华尔街日报》整理出了有关该黑客入侵事件以及安全公司和西方国家政府全面反击的情况。
《华尔街日报》发现,慧与公司(Hewlett Packard Enterprise Co., HPE)遭受的入侵极为严重,这家云服务公司在信誓旦旦的告诉客户一切都是安全时,还没有发现黑客再度侵入了其客户网络。
被西方官员和研究人员称为APT10的黑客组织在上述云网络内部能够访问大量客户信息。《华尔街日报》的调查发现有数百家公司与被入侵的云服务提供商有关系,其中包括力拓、飞利浦(Philips)、美国航空集团(American Airlines Group Inc., AAL)、德意志银行(Deutsche Bank AG, G.DBK, DB)、安联保险公司(Allianz SE, ALV.XE, AZ)和葛兰素史克(Glaxosmithkline plc, GSK, GSK.LN)。
美国联邦调查局(FBI)局长Chris Wray称黑客相当于偷走了可以入侵整座公寓大楼的万能钥匙。
2018年12月20日,FBI局长Chris Wray宣布针对两名中国公民的刑事指控
黑客目前是否还留在这些公司网络内部是一个悬而未决的问题。《华尔街日报》查阅了网络安全公司Security Scorecard提供的数据,发现在今年4月到11月中旬期间,仍有数以千计的IP地址在向APT10的网络反馈信息。
现任和前任美国政府官员表示,包括美国司法部在内的美国政府机构对自身可能面临的风险感到担忧,他们还担心,上述黑客攻击是否已使中国政府能够访问关键基础设施信息。路透(Reuters)今年早些时候报道过中国相关间谍活动范围的部分情况。
美国政府目前表示,APT10从美国海军获取了超过10万人的详细个人资料。
美国政府内部和外部调查人员都表示,许多大型云服务公司试图阻止客户了解这些公司网络内部发生了什么。一名调查人员称,这就好比试图堵住流沙。
据几位知情人士透露,这些云服务公司的抵制令美国国土安全部的官员懊恼不已,这些官员现在正设法修改联邦合同,以便迫使这些公司配合未来的调查。
在被问及国土安全部是否遭入侵时,该部的一名发言人不予置评。美国司法部的一名发言人没有回覆记者的置评请求。
慧与公司发言人Adam Bauer称,针对这些黑客入侵行为,该公司已努力为其客户采取了补救措施,Bauer还表示,确保客户数据的安全是该公司的头等大事。
Bauer表示:“我们强烈驳斥任何关于慧与公司从一开始就未与政府机构密切合作的指控,这种说法显然毫无依据。”
IBM发言人Edward Barbini称,该公司与相关政府机构共同进行了调查,并表示:“我们没有发现证据表明任何敏感的公司数据遭入侵……我们已经与表达了担忧的客户进行了单独的合作。”
这次黑客攻击凸显了全球商业核心领域存在的一个薄弱环节。全球最大的一些公司越来越多地将最敏感的数据存储在云服务供应商那里,这些供应商长期以来一直标榜自身服务的安全性。云服务供应商也被称为托管服务提供商。
《华尔街日报》联系的许多公司都不予透露它们是否成为了此次攻击的目标。
美国航空表示,2015年曾接到慧与公司的通知,称他们的系统卷入了一起网络安全事件,但“没有发现任何证据表明我们的系统或数据遭到了入侵”。
飞利浦称,该公司知悉可能是来自APT10的入侵行动,并表示“到目前为止,这些企图已经得到应对。”
安联保险的一名发言人表示,该公司没有发现自身系统被APT10入侵的证据。
葛兰素史克、德意志银行、力拓和Tieto未予置评。CGI没有回覆多次询问。
中国政府未回覆置评请求。中国政府此前否认过有关黑客行为的指控。
云端幽灵
研究人员表示,就APT10而言,“云端跳跃”是新型行动。APT是Advanced Persistent Threat(高级持续威胁)的缩写,APT10是中国最难追踪的黑客组织之一。
美国国家安全局(National Security Agency)的网络安全部负责人Anne Neuberger说道:“你们听过那个老笑话,为什么要抢银行?”“因为里面有钱呀。”
安全公司追踪APT10已逾十年,这些黑客侵入政府、工程公司、航空公司和电信网络。关于这个黑客组织,很多方面仍是未知谜团,不过美国检方已指控至少部分参与者是为中国国家安全部工作的承包商。
要侵入云端系统,黑客有时候会向拥有高级别访问权限的网络管理员发送钓鱼邮件。调查人员称,其他时候黑客会通过承包商的系统攻入。
两位知情人士表示,力拓是最早的目标之一,并且是被当做一种测试。力拓经营的业务涉及铜、钻石、铝、铁矿石和铀等,其被攻击的时间最早可以追溯到2013年,是通过云服务提供商CGI被侵入的。
不清楚黑客在攻击中拿走了哪些资料,但一位了解此该案的调查人员称,这类信息可以被用来在矿产公司计划的开采地点大举购买房地产。
一直在调查“云端跳跃”的FBI特工Orin Paliwoda最近在纽约的一次网络安全会议上称,APT10的运作方式基本上就像是云端的幽灵。他表示,它们“看起来基本上和其他流量没什么两样。这是一个非常严重的问题。”
普华永道(PricewaterhouseCoopers)驻伦敦高级网络调查员Kris McConkey是最先看到APT10行动范围的人士之一。2016年初,在对一家国际咨询公司进行例行安全审计时,他的监视器开始亮起代表出现一次大规模攻击的红点。
起初,他的团队认为这次攻击只是一次偶然事件,因为攻击是通过云端、而不是该公司网络的前门进行的。之后,他们开始在其他客户那里看到同样的模式。
McConkey说:“当你意识到这种情况已发生多次、而且实施者实际上知道他们可以访问什么信息以及如何滥用这些信息时,你就会意识到问题的严重性。”他以保密协议为由不愿透露具体公司或云服务提供商的名称。
McConkey的团队在一个安全的楼层工作,该楼层只能通过独立的电梯进入。该团队中的一个组负责清除“坏人”,另一组负责收集有关网络入侵的情况以及攻击者可能的下一个目标的情报。
普华永道驻伦敦高级网络调查员Kris McConkey是最先看到APT10行动范围的人士之一
他们了解到,这些黑客是分组行动的。其中被McConkey称为“星期二小组”的黑客会在某一天出现,他们负责确保所有被盗的用户名和密码仍然有效。另一组通常会在几天后出现并窃取目标数据。
其他时候,黑客利用受害者的dropbox等网络来存放信息。有一家公司事后发现,有来自五家不同公司的数据被藏匿在其网络中。
在最初的几个月,McConkey的团队开始与其他同样开始发现幽灵的安全公司分享情报。有时,这些攻击者会嘲弄追击者,甚至为其攻击行动注册域名,如gostudyantivirus.com和originalspies.com。
Secureworks安全研究主管Mike McLellan称,很少见到中国APT组织这样嘲笑研究人员。他还表示,APT10有时还会在其恶意软件中加入侮辱研究人员能力的话。
黑客们最重要的目标之一是慧与公司,该公司的企业云服务为数十个国家的数千家公司处理敏感数据。2016年慧与公司Twitter账号发布的一段宣传视频显示,其客户飞利浦管理着2万兆兆字节的数据,包括数百万条临床研究信息以及一款面向糖尿病患者的应用程序。
知情人士透露,至少从2014年初开始,APT10一直是慧与公司面临的一个严重问题,该公司并不总是会告诉客户其云端问题的严重程度。
据几名消息人士透露,让情况更加复杂的是黑客侵入了该公司的网络事件应对团队。一位消息人士称,在慧与努力清理病毒时,黑客对这个过程进行了监控,并再次侵入到清理后的系统中,重启了整个循环。
慧与发言人Bauer说:“我们努力对黑客侵入事件进行了补救,直到我们相信入侵者已经从涉事系统中清除出去。”
在入侵事件发生期间,慧与将企业云业务剥离到了一家新公司DXC Technology。慧与当时在公开文件中说,“安全漏洞”没有导致严重损失。
DXC发言人Richard Adamonis表示:“网络安全事件没有给DXC或DXC的客户带来严重负面影响。”
飞利浦(Philips)发言人表示,慧与提供的服务“不包括患者数据的存储、管理或转移。”
反击
第一次真正的反击行动于2017年初启动。反击者的队伍不断扩大,目前包括了数家安全公司、被感染的云服务公司和数几十家受害企业。
几位知情人士称,西方政府施压后,这些云服务公司已经变得更为配合,他们中的一些起初拒绝共享信息。
首先,调查人员在受害企业的系统中植入虚假的日历项,让黑客误以为IT管理人员将在某个周末外出办事。这样做的目的是诱使黑客相信,该公司尚未怀疑有不妥之处,黑客也未被公司发现。
之后,调查人员在黑客通常活动时间段以外迅速行动,立刻切断黑客的进入渠道,关闭那些遭入侵的账户并隔离被感染的服务器。
调查人员称,APT10很快就会卷土重来,盯上了新的受害者,包括金融服务公司。
IBM就是新目标之一,该公司为许多《财富》(Fortune) 500强公司以及多个美国政府机构提供云服务,比如美国总务管理局、内政部和美国军方。
一位发言人说,美国总务管理局与多家云公司合作,也知道“云端跳跃”,在管理安全威胁方面也保持着高度警惕。美国内政部和美国陆军不予置评。
IBM内部发生了什么不得而知。这些黑客更善于隐藏,并通过多层匿名服务器发动攻击。
美国官员描述了整个2017年和2018年在发现APT10的新黑客攻击时的那种恐慌感。鉴于形势极其严峻,他们罕见地公开发布警告,称黑客已经攻击了关键基础设施,包括IT、能源、医疗和制造业。
川普政府花了几个月的时间争论如何打击这些黑客,应该披露哪些信息,以及对贸易谈判有何影响。熟悉调查的前美国官员说,他们最初希望制裁与黑客攻击有关的中国实体,并披露大约六名中国公民的身份,其中包括与中国情报机构有直接联系的一些人。
但最后只有两人被点名。知情人士表示,要实施“云端跳跃”这种黑客攻击,参与人数要比这多得多,其中包括开发者,侵入操作者,以及处理被盗材料的语言学家。
在这两个被点名的黑客中,关于Zhu Hua的个人信息很少,他的网名是Godkiller。另一名黑客名为Zhang Shilong (网名Darling Dragon),研究人员将其与一个发布黑客研究相关帖子的社交媒体账号联系在一起。
目前这两人仍可能在中国境内,或因有关共谋、电信欺诈和身份盗用的指控而面临长达27年的刑期。美国与中国之间没有引渡条约。《华尔街日报》无法找到他们以寻求置评。
一位前美国情报官员称,当时截获的情报显示,中国操作者正在庆祝他们新获得的恶名。
直到今天,关于使用被盗数据的计划仍知之甚少。几名调查人员表示,与其他攻击不同的是,这些价值极高的商业数据似乎没有在暗网(Dark web)上出售。
一名现任美国政府官员称,“云端跳跃”行动仍受到联邦调查人员的极大关注,他们正在努力查明该行动是否与其他中国涉嫌参与的重大企业入侵事件有关。
研究人员和西方官员仍不清楚“云端跳跃”行动的最终规模,包括潜在入侵的网络总量,以及中国最终窃取了多少数据。
虽然美国官员和安全公司表示,过去一年APT10的活动有所减少,但云服务提供商面临的威胁依然存在。谷歌(Google)的安全研究人员最近报告称,有俄罗斯政府背景的黑客一直试图侵入托管服务提供商,这些提供商也已成为犯罪分子的目标。
前美国司法部负责国家安全的助理副部长Luke Dembosky说:“如果不知道(APT10)已经或仍在它们网络中的公司没有几十家,我会感到震惊。”他目前与受到APT10等组织攻击的公司合作。
McConkey表示:“问题是,他们到底在做什么?他们没有消失。只是他们现在所做的一切我们看不见而已。”