在今天美國面臨的網絡安全風險中,少數比中國支持的駭客可能擁有的潛在破壞性能力更具威脅性,這是美國高級國家安全官員所說的一種“定義時代的威脅”。
美國表示,中國政府支持的駭客已經多年來深深滲透美國的關鍵基礎設施網絡,包括水、能源和交通運輸供應商。官員們表示,目標是為中國與美國之間的未來衝突,例如可能的中國入侵台灣等情況下,為未來的破壞性網絡攻擊奠定基礎。
“中國的駭客正在定位美國基礎設施,準備如果中國認為時機成熟來制造混亂,對美國公民和社區造成真實危害,” 當時即將卸任的聯邦調查局局長克里斯托弗·雷去年對立法者們說。
自那時以來,美國政府及其盟友已經採取行動對付一些“颱風”家族中國駭客團伙,並發布了有關這些團伙所構成威脅的新細節。
2024年1月,美國破壞了一個名為“Volt Typhoon”的中國政府駭客團隊,負責為破壞性網絡攻擊鋪平道路。之後在2024年9月,聯邦當局接管了由另一個名為“Flax Typhoon”的中國駭客團隊運營的僵尸網絡,該團隊利用一家位於北京的網絡安全公司來幫助掩飾中國政府駭客的活動。然後在2025年12月,美國政府就該網絡安全公司在多起針對美國受害者的計算機入侵事件中的所謂角色實施制裁。
自Volt Typhoon出現以來,另一個新的名為“Salt Typhoon”的中國支持的駭客團隊出現在美國電話和互聯網巨頭的網絡中,能夠通過破壞用於執法聽話的電信系統,收集對美國情報的資料,以及美國監視的潛在目標。
這裡是我們了解中國駭客團隊為戰爭做準備的情況。
Volt Typhoon
Volt Typhoon代表了一類新型的中國支持駭客團隊;不再僅僅是為了竊取敏感的美國機密,而是準備干擾美國軍方的“機動能力”,如當時FBI局長所說。
微軟於2023年5月首次識別了Volt Typhoon,發現這些駭客自至少從 2021 年中期以來一直針對並侵入網絡設備,如路由器、防火牆和 VPN,作為持續和有計劃的努力的一部分,深入滲透美國關鍵基礎設施系統。美國情報界表示,實際上,這些駭客可能已經運作了更長的時間,潛在地長達五年。
Volt Typhoon在微軟的報告之後的幾個月中,侵入了數千個這些連接互聯網的設備,利用被視為“終止支援”的設備的漏洞,因此不再接收安全更新。該駭客團隊隨後進一步獲得對多個關鍵基礎設施部門的IT環境的進入,包括航空、水、能源和運輸,為啟動未來的破壞性網絡攻擊做好準備,旨在減緩對其主要盟友台灣入侵的美國政府的回應。
安全公司Mandiant的首席分析師約翰·赫爾特奎斯特表示:“此行為不是美國一般情報收集和偷竊機密的慣例。他們正在探查敏感的關鍵基礎設施,以便他們在命令下來臨時制造重要服務的混亂。”
美國政府在2024年1月表示,已成功破壞了由Volt Typhoon使用的僵尸網絡,該網絡由數千個被劫持的美國小辦公室和家用網絡路由器組成,中國駭客團隊利用這些路由器隱藏其針對美國關鍵基礎設施的惡意活動。FBI表示,通過法院批准的操作,成功從被劫持的路由器中刪除了惡意軟件,切斷了中國駭客團隊與僵尸網絡的聯繫。
到2025年1月,據彭博社報導,美國發現與Volt Typhoon有關的逾100次入侵,遍及全國及其領土。報導指出,這些攻擊中有大量針對關島,即美國在太平洋的一個島嶼領土,這對美國軍事行動具有戰略重要性。據報導,Volt Typhoon可能針對了島上的關鍵基礎設施,包括其主要電力機構、該島最大的移動電話網供應商,以及幾個美國聯邦網絡,其中包括關島的敏感防禦系統。彭博社報導稱,Volt Typhoon使用了一種以前從未部署在關島網絡上的全新惡意軟件,這被研究人員視為中國駭客對該地區的高重要性的跡象。
Flax Typhoon
Flax Typhoon是微軟在同年8月的一份報告中首次揭露的另一個中國支持的駭客團隊,官員們表示,該團隊在最近幾年中以一家總部位於北京的上市網絡安全公司的名義進行了針對關鍵基礎設施的駭客攻擊。微軟表示,Flax Typhoon自 2021 年中期以來一直活躍,主要針對台灣的數十家“政府機構和教育、關鍵制造和資訊技術組織”。
然後在2023年9月,美國政府表示,已接管了另一個僵尸網絡,由成千上萬被劫持的互聯網連接設備組成,Flax Typhoon使用這個僵尸網絡“進行惡意網絡活動,偽裝為被感染的用戶設備的常規網絡流量。” 檢察官表示,這個僵尸網絡使其他中國政府支持的駭客能夠“入侵美國和全球範圍內的網絡,竊取信息並將我們的基礎設施置於風險之中。”
司法部隨後證實了微軟的發現,並補充說,Flax Typhoon還“攻擊了多家美國和外國公司”。
美國官員表示,Flax Typhoon所使用的僵尸網絡由位於北京的網絡安全公司Integrity Technology Group運營和控制。 2024年1月,美國政府對Integrity Tech實施了制裁,原因是其與Flax Typhoon之間的聯繫。
Salt Typhoon
最近幾個月中國政府支持的網絡大軍中最新 - 也可能是最厄怪的 - 一個團隊是Salt Typhoon。
Salt Typhoon在2024年10月登上頭條新聞,進行了不同類型的信息收集行動。根據《華爾街日報》首先報導,這個中國聯繫的駭客團隊入侵了幾家美國電信和互聯網供應商,包括AT&T、Lumen(前身為CenturyLink)和Verizon。《華爾街日報》在2025年1月後報導稱,Salt Typhoon還侵犯了美國的互聯網供應商Charter Communications和Windstream。美國網絡官員安妮·紐伯格表示,聯邦政府已辨認第九家遭黑客攻擊的電信公司。
據一份報告,Salt Typhoon可能是利用被侵擾的思科路由器獲取這些電信公司的系統入口。一旦進入電信公司的網絡,攻擊者就能夠訪問客戶的通話和短訊元數據,包括通信的日期和時間戳、來源和目的IP地址,以及逾百萬用戶的電話號碼;其中大多數是位於華盛頓特區地區的個人。在某些情況下,黑客還能夠錄取年長的美國人的電話語音。紐伯格表示,受到數據訪問的“大部分”是“政府感興趣的目標”。
通過入侵執法機構用於法庭授權收集客戶數據的系統,Salt Typhoon還可能獲得了授權的數據和系統,包括美國政府大部分數據請求的潛在身份,包括美國監視的中國目標的身份。
目前尚不清楚窃听系统的侵入是何时发生的,但根据《华尔街日报》的报道,可能可以追溯到2024年初。
AT&T和Verizon在2024年12月告诉TechCrunch他们的网络经过保护,已经不再受Salt Typhoon间谍组织的攻击。Lumen稍后证实,他们的网络也不再受到黑客的影响。
首次发布于2024年10月13日,已更新。
