中国人首先用他们最好的工具对付自己的人民 – Nei.st

使用CN2/CN2GIA顶级线路，支持Shadowsocks/V2ray科学上网，支持支付宝付款，每月仅需 5 美元

## 加入品葱精选 Telegram Channel ##

中国黑客行动升级，攻击海外少数民族和侨民

过去三年，中国政府支持的黑客的行动方式发生了剧烈改变，用有选择的攻击取代了此前漫无目的的行动，显示出北京将监控国家推向境外的新决心。

安全研究人员和情报官员表示，中国政府为这一变化投入了大量资源，属于习近平主席在 2016 年发起的人民解放军重组的一部分。

自那以后，中国的黑客们建立了一个新的技术武器库，比如对 iPhone 和安卓 (Android) 软件进行精密的黑客攻击，不再局限于电子邮件攻击和其他较基础的手段。

研究人员说，这些更精良的攻击主要针对中国的少数民族和他们在其他国家的侨民。在几起事件中，黑客攻击的目标是少数民族维吾尔人的手机。近年来，他们的聚居区新疆一直在大规模建设监控技术。

「中国人首先用他们最好的工具对付自己的人民，因为他们最害怕的就是自己的人民，」前美国政府官员詹姆斯·A·刘易斯 (James A. Lewis) 说，他为华盛顿的战略研究中心 (Center for Strategic Studies) 撰写网络安全和间谍方面的文章。「然后他们才会把这些工具用于外国目标。」

中国扩大其监控和审查范围的意愿，在 NBA 休斯顿火箭队 (Houston Rockets) 的一名高管本月在 Twitter 上支持香港抗议者后得到了体现。中国的反应非常迅速，威胁到了 NBA 在中国建立的一系列商业关系。

今年 8 月，Facebook 和 Twitter 表示清除了一个巨大的中国机器人网络，这些机器人在抗议活动中散布虚假信息。最近几周，一家安全公司追踪到中国黑客对香港媒体公司发起了长达数月的攻击。安全专家表示，中国黑客很可能将目标对准抗议者的手机，但他们尚未公布任何证据。

一些安全研究人员表示，中国黑客能力的提高，已使他们能与俄罗斯精英网络部队平起平坐。对维吾尔人手机的攻击提供了一个难得的机会，让我们得以一窥中国一些最先进的黑客工具如今如何被用来压制或惩罚批评人士。

追踪针对 iPhone 的攻击的谷歌 (Google) 研究人员表示，在出售软件漏洞信息的黑市网站上，有关这些黑客攻击的软件缺陷的详情价值数千万美元。

在新疆的街道上，大量高端监控摄像头运行面部识别软件来识别和跟踪人们。专门设计的应用程序被用来筛查维吾尔人的手机，监控他们的通讯，并记录他们的行踪。

获取逃离中国的维吾尔族人的电话，是这些全面监控工作的合理延伸——随着国内许多人被关押，流散海外的人越来越多。这种国外社区长期以来一直是北京关注的问题，新疆有许多人因为亲属在国外旅行或居住而被送入拘禁营。

中国警方还采取了不那么复杂的手段来控制逃亡的维吾尔人，他们使用聊天应用微信引诱维吾尔人返回家乡或威胁他们的家人。

中国外交部没有回应记者的置评请求。中国否认了过去有关其从事网络间谍活动的说法，并称中国也常常是这类活动的目标。

安全研究人员最近发现，中国人看起来发现了自己的系统遭到国家安全局 (National Security Agency) 的网络攻击，随后他们也使用了国家安全局的黑客工具。几周前，中国安全公司奇安信发表了一篇分析文章，将美国中央情报与一起针对中国航空业的黑客攻击联系在一起。

破解 iPhone 一直被认为是网络间谍的圣杯。「如果你能进入 iPhone，你就有了自己的间谍手机，」网络安全公司火眼 (FireEye) 的情报分析主管约翰·赫尔特奎斯特 (John Hultquist) 说。

2016 年 FBI 与苹果展开了一场对决，但依靠外界的帮助才得以破解。该局向一个匿名第三方支付了 100 多万美元，以破解一名在加州圣贝纳迪诺杀死了 14 人的枪手使用的 iPhone。

谷歌的研究人员表示，他们发现 iPhone 的漏洞被用来感染一系列网站的访问者。尽管谷歌没有公布被攻击者的姓名，但苹果表示，在大约 12 个关注维吾尔人的网站上发现了他们。

「你可以攻击一个为写研究报告而访问这个网站的日本高中生，但你也会攻击一个在中国有家人，并且支持这项事业的维吾尔人，」维吉尼亚州安全公司 Volexity 的创始人兼总裁史蒂文·阿戴尔 (Steven Adair) 说。

科技新闻网站 TechCrunch 最先报道了黑客活动与维吾尔人之间的联系。苹果的一次软件更新修复了这个漏洞。

最近几周，Volexity 的安全研究人员发现，中国的黑客活动也利用了谷歌的安卓应用的漏洞。Volexity 发现，有几个关注维吾尔问题的网站感染了安卓恶意应用。该公司将这些攻击追溯到了两个中国黑客组织。

由于黑客攻击的目标是安卓和 iPhone 用户——尽管在新疆的维族人通常不使用 iPhone——阿戴尔说，他认为黑客攻击的目标在一定程度上是居住在国外的维吾尔人。

「中国正在把数字监控扩展到境外，」他说。「它似乎真的在打击海外流民。」

多伦多大学 (University of Toronto) 蒙克全球事务学院 (Munk School of Global Affairs) 公民实验室 (Citizen Lab) 的另一组研究人员最近发现了一个同时进行的行动，使用了谷歌和 Volexity 发现的一些相同代码。直到今年 5 月，该行动还在攻击藏人的 iPhone 和安卓手机。

中国黑客利用 WhatsApp 信息，冒充《纽约时报》记者，以及国际特赦组织 (Amnesty International) 等组织的代表，对达赖喇嘛的私人办公室、西藏议会成员和西藏非政府组织等进行攻击。

与藏人组织合作应对网络安全威胁的组织 TibCERT 的秘书洛桑嘉措 (Lobsang Gyatso) 在接受采访时表示，与中国以前的监控尝试相比，最近的攻击明显升级。

洛桑说，十年来，中国黑客用含有恶意附件的电子邮件攻击藏人。如果他们黑入了一个人的电脑，就会攻击受害者通讯录里的每一个人，尽可能地广撒网。但洛桑说，在过去三年里，情况发生了很大变化。

「最近的袭击是我们在社区里从未见过的，」他说。「这是一个巨大的资源转移。他们的目标是手机，还有更多的侦察活动。他们有私人电话号码，甚至那些不上网的人的电话号码。攻击者知道那些人都是谁，他们的办公室在哪里，他们做什么事。」

CrowdStrike 负责情报工作的副总裁亚当·迈耶斯 (Adam Meyers) 说，这些行动明显比五年前精良得多。五年前，安全公司发现，中国黑客在「雨伞革命」中攻击了香港抗议者的手机。

当时，中国的黑客只能侵入「已越狱」或以某种方式修改过的手机，这些手机可以安装未经苹果官方商店审查的应用。近期对维族人的攻击进入了经过更新的 iPhone，且没有引起机主的注意。

「就中国的威胁等级排名而言，最大的威胁来自国内，」刘易斯说。「在中国人看来，头号威胁是失去对本国人口的信息控制。但美国稳居第二。」

中国黑客还利用他们改进的技术攻击外国政府和公司的计算机网络。他们曾以互联网和电信公司为目标，并曾侵入外国科技、化工、制造和矿业公司的计算机网络。空客 (Airbus) 公司最近表示，中国曾通过一个供应商对其发起过攻击。

2016 年，习近平合并了类似美国网络战司令部 (Cyber Command) 的战略支援部队旗下多个军方黑客部门，并将国家的很多外国黑客行动从军队转移到更先进的国家安全部——中国的主要间谍机构。

此次重组适逢 2015 年习近平和贝拉克·奥巴马 (Barack Obama) 总统就停止以商业利益为目的的网络间谍活动签订协议后，中国网络攻击暂时停止。

「该协议给了中国专注于使自身网络间谍能力专业化的时间和空间，」刘易斯说。「我们没想到会这样。」

安全研究人员表示，中国官员们还打击了由政府资助的黑客利用兼职赚钱的欺诈行为——一个习近平总结称有时会损害黑客身份和工具的「腐败」问题。

虽然中国在改进它的行动，但安全专家表示，为保留先进的黑客攻击手段，中国还在压制安全研究。中国警方近期表示，他们计划执行国家法律，禁止未经授权的漏洞披露，中国研究人员近期也被禁止参加西方黑客大会的竞赛。

「他们正严阵以待，」火眼的赫尔特奎斯特说。「他们已经认识到，可以利用这些资源协助他们的进攻和防御网络行动。」

NYTimes: China Sharpens Hacking to Hound Its Minorities, Far and Wide

在军事、情报和商业网络间谍活动方面，北京属技术最高超之列

一家领先的网络安全公司发现，中国情报机构获得了美国国家安全局 (NSA) 的黑客工具，并在 2016 年将其转用于攻击美国盟友以及欧洲和亚洲的私营企业。这起事件是美国对其网络安全武库关键部分失去控制的最新证据。

基于攻击的时间和计算机代码中的线索，赛门铁克 (Symantec) 公司的研究人员认为，中国人并没有窃取代码，而是从一次 NSA 对他们的计算机发起的攻击中捕获的——就像一个枪手抓起敌人的步枪开始射击。

中国的行动显示出，网络冲突的激增正在创造一个几乎没有规则或确定性的数字蛮荒西部，而美国很难保证用于侵入外国网络、攻击对手基础设施的恶意软件不外流。

这些损失在情报界内引发了一场辩论，即如果美国无法妥善保管这些世界上最高科技、最隐秘的网络武器，那么是否还要继续去开发它们。

根据《纽约时报》看到的一份政府部门机密备忘录，该部门分析师认为，这个挪用 NSA 工具的中国黑客小组，在他们所追踪的中国政府雇佣组织中属于最危险的一个。该组织对美国境内一些最敏感的国防目标发起了多次攻击，包括太空、卫星和核动力推进技术制造商。

赛门铁克周一公布的发现表明，NSA 追踪了 10 多年的中国黑客，如今已扭转形势占据上风。

一个至今身份不详、自称为影子中间人 (Shadow Brokers) 的组织，后来把跟中国人所获一样的 NSA 黑客工具放到了网上，俄罗斯和朝鲜用它们发起了造成重大破坏的全球攻击；不过中国获取美国的网络武器与影子中间人后来将其泄露出去这两件事似乎不存在联系。

但赛门铁克的发现第一次提供了证据，表明中国政府资助的黑客在影子中间人于 2016 年 8 月首次在网上出现之前的几个月，就已经获得了其中一些工具。

在过去的十年里，美国情报机构的黑客工具和高度机密的网络安全项目细节屡屡遭到泄露，落入其他国家或犯罪组织手中。

NSA 利用复杂恶意软件摧毁了伊朗的核离心机，然后同样的代码在世界各地扩散，任何目标都有可能遭到破坏，包括雪佛龙 (Chevron) 这样的美国商业巨头。目前流亡莫斯科的前 NSA 雇员爱德华·J·斯诺登 (Edward J. Snowden) 向记者披露了美国秘密网络安全项目的细节。众多中情局的网络武器据说被内部人士泄露后贴到了维基解密 (WikiLeaks) 上。

赛门铁克安全主管艾里克·钱 (Eric Chien) 说：「我们已经知道，你并不能保证你的工具不被泄露，不会被用来对付你和你的盟友。」

艾里克·钱接着说，如今国家的网络武器已经被美国的敌人泄露、劫持和改造，是时候让各国「将其纳入」对网络武器使用风险所做的分析了，而且它们很有可能被重新组装并用来回击美国或其盟友。

在这起最新的案例中，赛门铁克的研究人员并不确定中国人是如何得到美国开发的代码的。但他们知道，中国的情报雇佣组织利用经过改造的美国工具，在比利时、卢森堡、越南、菲律宾和香港等至少五个国家实施了网络入侵。攻击目标包括至少一个美国政府盟友的科研机构、教育机构和计算机网络。

赛门铁克说，对一个主要电信网络发动一次攻击，就可能让中国情报官员获得数十万或数百万条私人通信。

赛门铁克在其研究中没有明确提到中国，倒是指认袭击者是一个叫鹿眼 (Buckeye) 的组织，这是赛门铁克自己对司法部和其他几家网络安全公司已确定在广州的一家中国国家安全部承包商的称呼。

由于网络安全公司的业务遍及全球，它们经常为政府的情报部门起各种绰号，以免得罪它们；赛门铁克及其他一些公司将国家安全局的黑客称为方程式 (Equation)。鹿眼的其他称呼还包括 APT3——这是高级持续性威胁 (Advanced Persistent Threat) 的缩写。

2017 年，司法部公布了针对三名中国黑客的起诉书，他们属于赛门铁克称为鹿眼的团体。尽管检察官没有宣称三人是效力于中国政府，但从独立研究人员以及时报查阅过的 NSA 保密备忘录可明确得知，该团体与国家安全部签有合同，且对美国实施过精密的黑客攻击。

五角大楼上周公布了一份有关中国军事竞赛的报告，其中称在军事、情报和商业网络间谍活动方面，北京属技术最高超之列，并在寻求「降低美国在行动与技术上的核心优势」。

而在本案例中，中方似乎是发现了美国的网络入侵，并获取了代码，这些工具往往是耗费美国纳税人巨额资金研制的。

赛门铁克发现，早在 2016 年 3 月，中国黑客便已在他们的攻击中使用两个改版的 NSA 工具：「永久协作」(Eternal Synergy) 和「脉冲双星」(Double Pulsar)。在数月后的 2016 年 8 月，影子中间人公布了他们的首批 NSA 被盗工具样本，2017 年 4 月又在网上泄露了 NSA 的全套攻击程序。

赛门铁克的研究人员指出，此前网络安全研究人员曾多次发现恶意软件被公布在网上，后被间谍机构或犯罪分子攫取并用以实施攻击。但他们不清楚中国在这方面——暗中捕获攻击中所使用的计算机代码，然后从中借鉴，并用其攻击新的目标——是否有过先例。

「这是我们第一次实际看到——早就有人提出过理论上的可能——一个团体回收了针对他们的未知漏洞和利用，然后转而使用这些漏洞利用去攻击他人，」艾里克·钱说。

中方似乎尚未将这些武器的矛头反转指向美国，赛门铁克的研究人员表示，原因可能有两个。他们可能假定美方已经研制出了针对自身武器的防御系统，并且他们可能不想让美国知道，他们偷取了美国的工具。

对美国情报机构而言，赛门铁克的发现所呈现的，是一种最糟的情况，美国官员表示，他们使用的一个名为漏洞裁决程序 (Vulnerability Equities Process) 的白宫项目就是想要避免这种情况。

通过这个从奥巴马政府开始的程序，来自政府各部门的白宫网络安全协调员和代表会对所储存的未公开漏洞是否要保密进行权衡取舍。代表们认为储存这些情报收集或军事用途方面的漏洞，反而有很大可能会导致它们被中国这样的对手发现，从而用以攻击美国。

据两名前 NSA 雇员透露，影子中间人 2016 年和 2017 年公布了 NSA 最炙手可热的黑客工具之后，该机构被迫将其软件漏洞资源库移交给微软公司进行修补，并终止了 NSA 的一些最敏感的反恐行动。

NSA 的工具遂被朝鲜和俄罗斯黑客获取，用以实施了多项攻击，曾致使英国医疗系统陷入瘫痪、船运集团马士基 (Maersk) 停运，并造成默克公司 (Merck) 生产的疫苗出现危急的短缺。在乌克兰，俄罗斯的黑客攻击曾导致包括机场、邮政、加油站和自动取款机等乌克兰关键服务项目的瘫痪。

「程序所涉及的决定都是有风险的。这类事情从根本上就是如此，」网络威胁联盟 (Cyber Threat Alliance) 主席迈克尔·丹尼尔 (Michael Daniel) 说，他此前曾任奥巴马政府的网络安全协调员。「但这显然会增强一种需求，即要有一个纳入许多不同的利害权衡的谨慎程序，且要频繁更新。」

在国家情报机构之外，这一程序涉及卫生和公众服务部 (Department of Health and Human Services) 和财政部等部门，它们需要确保 NSA 的漏洞不会被敌手或犯罪分子发现，并转而用以攻击医院和银行等美国基础设施或海外利益。

艾里克·钱说，这恰恰是赛门铁克近期的发现中似乎发生了的事情。他表示，将来美国官员将需要把这种真切的可能性纳入考虑，即他们自己的工具会被用于回击美国的目标或盟友。NSA 发言人表示对赛门铁克的报告暂时不予置评。

赛门铁克的发现还有一个令艾里克·钱担忧的地方。他指出，尽管 2017 年三名成员遭司法部起诉后，鹿眼组织已关闭，但 NSA 工具的改装版直到去年九月仍在被用于欧洲和亚洲的多项攻击。

「这还是鹿眼吗？」艾里克·钱问道。「或者他们是否把这些工具给了其他组织使用？这是个谜。人员会流转。但这些工具显然一直都会在。」

A version of this article appears in print on May 7, 2019, Section A, Page 9 of the New York edition with the headline: How Chinese Spies Got N.S.A.’s Hacking Tools, and Went on the Attack.

最简单好用的 VPS,没有之一，注册立得 100 美金