駭客似乎無處不在。
過去幾年,疑似為中國情報機構工作的網路攻擊者從數十家公司竊取了大量智慧財產權、安全許可資訊和其他記錄,這是有史以來規模最大的商業間諜活動之一。他們侵入相關系統,包括礦業公司力拓(Rio Tinto PLC)的探勘機密,還有電子和醫療巨頭飛利浦(Philips NV)的敏感醫學研究資訊。
駭客是透過雲端服務供應商入侵的,企業原本認為自身數據儲存在供應商那裡是安全的。這些駭客一旦侵入,就可以自由並匿名地從一個客戶跳到另一個客戶,調查人員多年來想將他們趕出去的嘗試也不斷受挫。
本文為風傳媒與華爾街日報正式合作授權轉載。欲看更多華爾街日報全文報導,請訂閱特別版華爾街日報VVIP方案,本方案僅風傳媒讀者專屬,以低於原價3折以下之全球最優惠價,即可無限暢讀中英日文全版本之華爾街日報全部內容。
藏身全球雲端的駭客集團
網路安全調查人員2016年首次確認這種駭客攻擊的情況,首先發現這類攻擊的安全研究人員將之稱為「雲端跳躍」(Cloud Hopper)。美國檢方去年12月指控兩名中國公民參與這項全球行動。這兩人仍逍遙法外。
《華爾街日報》(The Wall Street Journal)一項調查發現,「雲端跳躍」比之前所知的要大得多,範圍遠遠超出起訴書列出的14家未具名公司,涉及至少12家雲端供應商,包括加拿大最大雲端公司之一CGI Group Inc.、芬蘭主要資訊技術服務公司Tieto Oyj和美國International Business Machines Corp. (簡稱IBM)。
《華爾街日報》採訪了十幾位參與調查的人員、查看成百上千頁企業內部文件、調查資料以及與網路入侵相關的技術數據,整理出這起駭客入侵事件的情況,以及安全公司和西方國家政府如何全面反擊。
“They haven’t disappeared.” A WSJ investigation reveals the broad scope of Cloud Hopper, one of the largest-ever corporate espionage efforts. https://t.co/WEtPHh1XNx
— The Wall Street Journal (@WSJ) December 30, 2019
《華爾街日報》發現,慧與公司(Hewlett Packard Enterprise Co)遭受的入侵極為嚴重,這家雲端服務公司信誓旦旦地告訴客戶一切都很安全時,還沒有發現駭客再度侵入了他們客戶的網路。
被西方官員和研究人員稱為「APT10」的駭客組織,在上述雲端網絡內部能夠造訪大量客戶資訊。《華爾街日報》調查發現,數百家公司與被入侵的雲端服務商有關,包括力拓、飛利浦(Philips)、美國航空集團(American Airlines Group Inc.)、德意志銀行(Deutsche Bank AG)、安聯保險公司(Allianz SE)和葛蘭素史克(Glaxosmithkline plc)。
美國聯邦調查局(FBI)局長瑞伊(Chris Wray)說,駭客等同於偷走了可以入侵整座公寓大樓的萬能鑰匙。
駭客目前是否還留在這些公司網路內部是一個懸而未決的問題。《華爾街日報》查閱了網路安全公司Security Scorecard提供的數據,發現在今年4月到11月中旬期間,仍有數以千計的IP地址在向APT10的網路反饋資訊。
現任和前任美國政府官員表示,包括美國司法部在內的美國政府機構也擔憂自身可能面臨的風險,他們還擔心,上述駭客攻擊是否已讓中國政府能夠造訪關鍵的基礎設施資訊。路透(Reuters)2019年稍早曾報導中國間諜活動範圍的部分情況。
服務商隱瞞資訊外洩危機
美國政府目前表示,APT10從美國海軍那裏獲取逾10萬人的詳細個人資料。美國政府內部和外部調查人員都表示,許多大型雲端服務公司試圖不讓客戶了解公司網路內部發生了什麼事。一名調查人員說,這就好像試著堵住流沙。
據幾位知情人士透露,這些雲端服務公司的抵制令美國國土安全部(DHS)的官員懊惱不已,官員現在正在設法修改聯邦合約,以便迫使這些公司配合未來調查。
被問及DHS是否也遭駭客入侵時,該部發言人不予置評。美國司法部一名發言人沒有回覆記者詢問。
慧與公司發言人鮑爾(Adam Bauer)稱,針對這些駭客入侵行為,該公司已努力為客戶採取補救措施,Bauer還表示,確保客戶數據的安全是該公司的首要任務。
鮑爾表示:「我們強烈駁斥任何說慧與公司一開始就未與政府機構密切合作的指控,這種說法顯然毫無依據。」
IBM發言人巴米尼(Edward Barbini)稱已經與相關政府機構共同進行調查,並說:「我們沒有發現證據表明任何敏感的公司數據遭入侵……我們已經與表達擔憂的客戶單獨合作。」
這次駭客攻擊凸顯了全球商業核心領域的薄弱環節之一。愈來愈多全球最大的公司把最敏感的數據儲存在雲端服務供應商,這些供應商長期以來一直標榜安全性。雲端服務供應商也被稱為託管服務提供商。
《華爾街日報》聯繫的許多公司都不願透露它們是否也是此次攻擊的目標。
美國航空表示,2015年曾接到慧與公司通知,稱他們的系統捲入一起網路安全事件,但「沒有發現任何證據表明我們的系統或數據遭到入侵」。
飛利浦稱,該公司知悉疑似來自APT10的入侵行動,並表示「到目前為止,已經處理了這些入侵意圖。」
安聯保險的一名發言人表示,該公司沒有發現自身系統被APT10入侵的證據。
葛蘭素史克、德意志銀行、力拓和Tieto不予置評。CGI沒有回覆多次詢問。
中國政府未回覆記者詢問。中國政府先前已經否認過相關駭客行為的指控。
雲端幽靈
研究人員表示,就APT10而言,「雲端跳躍」是新型行動。APT是Advanced Persistent Threat(高級持續威脅)的縮寫,APT10是中國最難追蹤的駭客組織之一。
美國國家安全局(NSA)的網路安全部負責人諾伊伯格(Anne Neuberger)說:「你們聽過那個老笑話,為什麼要搶銀行?」「因為裡面有錢呀。」
安全公司追蹤APT10已逾10年,這些駭客侵入政府、工程公司、航空公司和電信網路。關於這個駭客組織,很多層面仍是未知謎團,不過美國檢方已指控,至少部分參與者是為中國國家安全部工作的承包商。
要侵入雲端系統,駭客有時會向擁有高層級權限的網路管理員發送釣魚郵件。調查人員稱,其他駭客則會透過承包商的系統攻入。
兩位知情人士表示,力拓是最早的目標之一,而且被當成一種測試。力拓的業務涉及銅、鑽石、鋁、鐵礦石和鈾等,該公司被攻擊的時間最早可追溯到2013年,駭客是透過雲端供應商CGI侵入的。
尚不清楚駭客在攻擊中究竟拿走了哪些資料,但一位了解此該案的調查人員稱,了解這類資訊,就可以在礦產公司計劃的開採地點大舉購買房地產。
一直在調查「雲端跳躍」的FBI特務帕林沃達(Orin Paliwoda)最近在紐約某次網路安全會議上說,APT10的運作方式基本上就像雲端幽靈。他表示,它們「看起來和其他流量沒什麼兩樣。這是一個非常嚴重的問題。」
普華永道(PricewaterhouseCoopers)駐倫敦高級網路調查員麥康齊(Kris 麥康齊)是最先了解APT10行動範圍的人士之一。2016年初,他在對一家國際諮詢公司進行例行安全審計時,監視器開始亮起紅點,代表出現了一次大規模攻擊。
起初,他的團隊認為這只是偶然事件,因為攻擊是通過雲端、而不是該公司網路的前門進行。之後,他們開始在其他客戶那裡看到同樣的模式。
麥康齊說:「當你意識到這種情況已發生多次、而且實施者知道他們可以訪問什麼資訊、以及如何濫用這些資訊時,你就會意識到問題的嚴重性。」他以保密協議為由,不願透露具體公司或雲端服務供應商的名稱。
麥康齊的團隊在一個安全的樓層工作,該樓層只能透過獨立電梯進入。團隊中有個組別負責清除「壞人」,另一組負責收集網路入侵的相關情況以及攻擊者下一個潛在目標的情報。
他們了解到,這些駭客是分組行動的。被麥康齊稱為「星期二小組」的駭客會在某一天出現,他們負責確保所有被盜的用戶名和密碼仍然有效。另一組通常會在幾天後出現並竊取目標數據。
其他時間,駭客利用受害者的dropbox等網路來存放資訊。有一家公司事後發現,有來自五家不同公司的數據被藏匿在其網路中。
最初的幾個月,麥康齊的團隊開始與其他同樣發現幽靈的安全公司分享情報。有時駭客會嘲弄追擊者,甚至為攻擊行動註冊網域名稱,如gostudyantivirus.com和originalspies.com。
Secureworks安全研究主管麥勒蘭(Mike McLellan)稱,很少見到中國APT組織這樣嘲笑研究人員。他還表示,APT10有時還會在惡意軟體中加入侮辱研究人員的話。
駭客最重要的目標之一是慧與公司,該公司的企業雲端服務替數十個國家的數千家公司處理敏感數據。2016年慧與公司Twitter發布的一段宣傳影片顯示,它的客戶飛利浦管理著2萬兆兆位元組的數據,包括數百萬條臨床研究資訊以及一款面向糖尿病患者的應用程式。
知情人士透露,至少從2014年初開始,APT10一直是慧與公司面臨的嚴重問題,該公司不會每次都一五一十告訴客戶雲端問題的嚴重程度。
幾名消息人士透露,讓情況更加複雜的是,駭客侵入了該公司的網路事件應對團隊。消息人士稱,慧與努力清理病毒時,駭客也對這個過程進行了監控,並再次入侵清理後的系統,重啟了整個循環。
慧與發言人Bauer說:「我們努力對駭客侵入事件進行了補救,直到我們相信入侵者已經從涉事系統中清除出去。」
入侵事件發生期間,慧與將企業雲端業務剝離到一家新公司DXC Technology。慧與當時在公開文件中說,「安全漏洞」沒有導致嚴重損失。
DXC發言人雅達莫尼斯(Richard Adamonis)表示:「網路安全事件沒有為DXC或DXC的客戶帶來嚴重負面影響。」
飛利浦(Philips)發言人表示,慧與提供的服務「不包括患者數據的儲存、管理或轉移。」
反擊者行動
第一次真正的反擊行動於2017年初啟動。反擊者的隊伍不斷擴大,目前包括數家安全公司、被感染的雲端服務公司和數十家受害企業。
幾位知情人士稱,西方政府施壓後,這些雲端服務公司變得更為配合,原本有些公司一開始還拒絕共享資訊。
首先,調查人員在受害企業的系統中植入假的行事曆,讓駭客誤以為IT管理人員將在某個周末外出辦事,目的是誘使駭客相信,該公司尚未懷疑有不妥之處,駭客也未被公司發現。
之後,調查人員在駭客通常活動時段以外迅速行動,立刻切斷駭客的進入管道,關閉那些遭入侵的帳戶並隔離被感染的服務器。
調查人員稱,APT10很快就會捲土重來並盯上新的受害者,包括金融服務公司。
IBM就是新目標之一,該公司幫許多《財星》(Fortune) 500強公司以及多個美國政府機構提供雲服務,比如美國總務管理局、內政部和美國軍方。
一位發言人說,美國總務管理局與多家雲端公司合作,也知道「雲端跳躍」,在管理安全威脅上保持著高度警惕。美國內政部和美國陸軍不予置評。
IBM內部發生什麼事不得而知。這些駭客善於隱藏,並透過多層匿名服務器發動攻擊。
美國官員描述了2017年至2018年發現APT10的新駭客攻擊時的恐慌感。鑑於形勢極其嚴峻,他們罕見公開發布警告,稱駭客已經攻擊了關鍵基礎設施,包括IT、能源、醫療和製造業。
川普(Donald Trump)政府花了幾個月的時間爭論如何打擊駭客、應該披露哪些資訊,以及對貿易談判有何影響。熟悉調查的前美國官員說,他們最初希望制裁與駭客攻擊有關的中國實體,並披露約六名中國公民的身份,包括某些與中國情報機構有直接聯繫的人。
不過,最後只有兩人被點名。知情人士表示,要實施「雲端跳躍」這種駭客攻擊,參與人數比這多得多,其中包括開發者、侵入操作者,以及處理被盜資料的語言學家。在這兩位被點名的駭客中,關於Zhu Hua的個人資訊很少,他的網路暱稱是Godkiller。另一名駭客名為Zhang Shilong (網名Darling Dragon),研究人員把這些名稱聯結上一個發布駭客研究相關貼文的社交媒體帳號。
目前這兩人仍可能在中國境內,可能因有關共謀、電信欺詐和身份盜用的指控而面臨長達27年的刑期。美國與中國之間沒有引渡條約。《華爾街日報》無法找到他們以尋求回應。一位前美國情報官員稱,當時截獲情報顯示,中國操作者正在慶祝他們新獲得的惡名。
直到今天,這些遭竊數據將拿來做何用途外界仍所知甚少。幾名調查人員表示,與其他攻擊不同的是,這些價值極高的商業數據似乎沒有在暗網(Dark web)上出售。
一名現任美國政府官員稱,「雲端跳躍」行動仍受到聯邦調查人員的極大關注,他們正在努力查明,該行動是否與其他中國涉嫌參與的重大企業入侵事件有關。
研究人員和西方官員仍不清楚「雲端跳躍」行動的最終規模,包括潛在入侵的網路總量,以及中國最終竊取了多少數據。
雖然美國官員和安全公司表示,過去一年APT10的活動有所減少,但雲端服務供應商面臨的威脅依然存在。谷歌(Google)的安全研究人員最近報告稱,有俄羅斯政府背景的駭客一直試圖侵入託管服務商,這些供應商也已成為犯罪分子的目標。
前美國司法部負責國家安全的助理副部長鄧波斯基(Luke Dembosky)說:「有些公司並不知道(APT10)已經進入或還待在其網路裡,這樣的公司如果沒有個幾十家,我才會感到震驚。他目前與受到APT10等組織攻擊的公司合作。
麥康齊表示:「問題是,他們到底在做什麼?他們沒有消失。只是現在所做的一切我們看不見而已。」
文/Rob Barry、Dustin Volz
