自網絡黑客責任從人民解放軍移交給國家安全部後,中共的策略發生了變化。
中國活躍的高科技企業不常招聘說柬埔寨語的人,因此尋找具備這種語言技能的三則高薪職位招聘廣告顯得格外醒目。廣告的發佈者是位於中國熱帶島嶼省份海南的一家互聯網安全初創企業,他們在尋找撰寫研究報告的人。
根據美國執法部門的說法,這家初創企業並非看起來那麼簡單。根據5月的一份聯邦起訴書,海南仙盾科技發展有限公司是中國神秘的國家安全部控制的幌子公司網絡當中的一家。檢方稱,他們侵入美國、柬埔寨、沙特阿拉伯等國家的電腦,尋找敏感的政府數據,還有一些不那麼明顯的間諜行為,比如獲取新澤西州一家公司的消防系統的詳細資料。
這些指控似乎讓人們看到了中國政府的黑客活動越來越活躍,以及他們在策略上的明顯轉變:中共頭號間諜機構打破傳統界限,從私營部門招募人才。
這個新的黑客群體讓中國的國家網絡間諜機器變得更強大、更複雜,而且對其日益增多的政府和私營部門目標而言,也變得更加危險、更加難以預測。這種新類型的黑客不僅攻擊政府目標,也攻擊私人企業,將傳統的間諜活動與赤裸裸的欺詐和其他牟利犯罪混在一起,它們得到了北京的支持,但未必受北京的控制。
中共的新做法借鑑了俄羅斯和伊朗的策略,多年來,許多公眾和商業目標為此備受困擾。根據美國司法部去年公佈的一份起訴書,一群與國家安全部門有聯繫的中國黑客索要贖金,否則會公佈一家公司的程序原始碼。另一份起訴書稱,來自中國西南部的另一群黑客將對香港民主活動人士的網絡攻擊與遊戲網站的欺詐行為混為一談。該組織的一名成員吹噓稱有官方保護,只要不對國內目標下手。
「這種做法的好處是可以覆蓋更多目標,刺激競爭。不利之處是不好控制,」澳大利亞網絡安全公司Internet2.0的負責人羅伯特·波特(Robert Potter)說。「我見過他們做一些非常愚蠢的事情,比如在一次間諜行動中試圖竊取7萬美元。」
調查人員認為,這些組織應該對近些年發生的一些重大數據泄露事件負責,包括萬豪連鎖酒店五億名客人個人信息和大約2000萬美國政府僱員信息被竊取,以及微軟電子郵件系統今年遭到的黑客襲擊(世界上許多大公司和政府都在使用這個郵件系統)。
非營利性地緣政治智庫西爾維拉多政策加速器(Silverado Policy Accelerator)的主席德米特里·阿爾佩羅維奇(Dmitri Alperovitch)表示,微軟的這次入侵與中國以往那種紀律嚴明的策略不同。
「他們盯上了之前毫無興趣的組織,並通過勒索軟件和其他攻擊來利用這些組織,」阿爾佩羅維奇說。
在一系列草率的攻擊和一場軍隊重組後,中國最高領導人習近平將更多的網絡黑客責任從人民解放軍移交給國家安全部,此後中共的策略發生了變化。這個間諜機構和共產黨調查機構的混合體使用了更複雜的黑客工具,比如被稱為「零日」(zero days)的安全漏洞,來針對公司、活動人士和他國政府。
中共國家主席習近平對中國人民解放軍黑客活動的曝光感到尷尬。
雖然該部門表現出一種對中國共產黨忠心耿耿的形象,但它的黑客活動可以像地方特許經營一樣運作。專家們表示,這些團體通常會按照自己的計劃行事,有時還會參與商業網絡犯罪這類副業。
這其中的信息是:「我們付錢給你,讓你朝九晚五為中國國家安全工作,」阿爾佩羅維奇說。「你用剩下的時間、工具和渠道做什麼,那是你自己的事。」
去年公佈的一份大陪審團起訴書指控,中國西南城市成都一所電氣工程學院的兩名前同學肆意進入外國計算機伺服器竊取異見者信息,從一家澳大利亞國防承包商那裏竊取工程圖紙。起訴書說,另一方面,兩人試圖敲詐勒索,要求支付報酬,否則就將一家身份不明的公司的原始碼放到網上。
在這種制度下,中共黑客變得越來越有攻擊性。據馬薩諸塞州薩默維爾市一家研究與國家有關行為者使用互聯網的公司「記錄未來」(Recorded Future)稱,自去年以來,全球與中共政府相關的攻擊較前四年增長了近兩倍。該機構表示,目前這一數字為平均每三個月超過1000次。
「考慮到這樣的規模,FBI抓到過他們幾次?」撰寫有關中國間諜活動文章的美國退休高級情報官員尼古拉斯·埃夫提米德斯(Nicholas Eftimiades)說。「你不可能有足夠的人手來應對這種猛烈攻擊。」
這樣的規模導致黑客行動很難被阻止,但黑客們不見得總是能掩蓋自己的蹤跡。他們有時會在網上留下一些線索,包括特工穿着國家安全制服的結婚照,露出馬腳的招聘廣告,以及對自己功績的吹噓。
檢方表示,創辦海南仙盾的目的是招募年輕人才,並且作為一種掩護,讓它可以推諉自己不知情。公司在中國大學的留言板上發佈招聘廣告,並贊助了一場網絡安全競賽。
根據5月的起訴書,從海南(一個伸入南海的島嶼)開展的行動有時反映了當地的優先事項,比如竊取加州一所大學的海洋研究成果,以及對鄰近的東南亞國家政府發動黑客攻擊。該公司招聘柬埔寨人的廣告是在柬埔寨選舉前三個月發佈的。
雖然一些攻擊對象有明確的間諜目標,但也有一些似乎不那麼集中。檢方表示,黑客試圖從一家機構竊取伊波拉疫苗的數據,從另一家機構竊取有關自動駕駛汽車的機密。
司法部在7月公佈了一份起訴書,詳細描述了一個中共黑客組織的攻擊行為。
2020年1月,一個曾經揭露中共國家安全黑客記錄的神秘博客找到了線索。早在中國情報官員出現在美國的起訴書上之前,這個名為「入侵真相」(Intrusion Truth)的博客就已經在華盛頓的網絡安全圈子裏聞名。
「入侵真相」的運營者們在招聘網站上搜索海南公司招聘「滲透測試工程師」的廣告,這種工程師通過研究網絡如何被入侵來保護網絡。
來自海南仙盾的一則招聘廣告格外引人注目。這則2018年發佈在四川大學計算機科學招聘版塊上的廣告吹噓說,仙盾公司「收到大量政府機密相關業務」。
這家總部位於海南省會海口的公司每月支付大約8000元至2萬元的工資——這對中國剛從大學畢業的科技員工來說是穩定的中產階級工資——獎金最高可達約10萬元。仙盾的廣告中列出了另一個在尋找網絡安全和外語專家的公司電子郵件地址,這表明它們同在一個網絡之中。
「入侵真相」的運營者在一封電子郵件中寫道,中國黑客組織越來越多地「分享惡意軟件和漏洞,並且會協調行動」。由於工作的敏感性,這些運營者沒有透露自己的身份。
仙盾公司的註冊地址是海南大學圖書館。其電話號碼與一名曾在中國人民解放軍服役的計算機科學教授的號碼一致,後者經營着一家網站,付費僱傭對破解密碼有新奇想法的學生。該教授還沒有被起訴。
其他記錄和電話號碼使「入侵真相」博客的作者們找到了該公司經理之一丁曉陽的一個電子郵件地址,以及一個經常變換的帳號。
起訴書稱,丁曉陽是一名國家安全官員,負責管理在海南仙盾工作的黑客。其中包括了博客上沒有找到的細節,比如丁曉陽從國家安全部獲得了該組織授予年輕領導人的獎項。
記者無法聯繫到丁曉陽和起訴書中提到的其他人。
前商務部出口執法辦公室中國問題專家馬修·布拉奇爾(Matthew Brazil)表示,目前中國國家安全機構的蹤跡還是可以找到的,但它可能正在學習如何更好地隱藏自己。布拉奇爾曾與人合寫過一份有關中共間諜活動的研究報告。
「中共各部門的能力參差不齊,」他說。「他們正在改善,五年或十年後,情況將有所不同。」
