https://www.storm.mg/article/2134294
华尔街日报 2020-01-02 11:35
https://i.imgur.com/2cVrD5i.jpg
示意图。疑似来自中国的“云端跳跃”（Cloud Hopper）骇客行动，潜入美国多家云端供
应商窃走无数企业的敏感数据。（Nahel Abdul Hadi via Unsplash）
骇客似乎无处不在。
过去几年，疑似为中国情报机构工作的网络攻击者从数十家公司窃取了大量智慧财产权、
安全许可资讯和其他记录，这是有史以来规模最大的商业间谍活动之一。他们侵入相关系
统，包括矿业公司力拓（Rio Tinto PLC）的探勘机密，还有电子和医疗巨头飞利浦（
Philips NV）的敏感医学研究资讯。
骇客是透过云端服务供应商入侵的，企业原本认为自身数据储存在供应商那里是安全的。
这些骇客一旦侵入，就可以自由并匿名地从一个客户跳到另一个客户，调查人员多年来想
将他们赶出去的尝试也不断受挫。
藏身全球云端的骇客集团
网络安全调查人员2016年首次确认这种骇客攻击的情况，首先发现这类攻击的安全研究人
员将之称为“云端跳跃”（Cloud Hopper）。美国检方去年12月指控两名中国公民参与这
项全球行动。这两人仍逍遥法外。
《华尔街日报》（The Wall Street Journal）一项调查发现，“云端跳跃”比之前所知
的要大得多，范围远远超出起诉书列出的14家未具名公司，涉及至少12家云端供应商，包
括加拿大最大云端公司之一CGI Group Inc.、芬兰主要资讯技术服务公司Tieto Oyj和美
国International Business Machines Corp. （简称IBM）。
《华尔街日报》采访了十几位参与调查的人员、查看成百上千页企业内部文件、调查资料
以及与网络入侵相关的技术数据，整理出这起骇客入侵事件的情况，以及安全公司和西方
国家政府如何全面反击。
《华尔街日报》发现，慧与公司（Hewlett Packard Enterprise Co）遭受的入侵极为严
重，这家云端服务公司信誓旦旦地告诉客户一切都很安全时，还没有发现骇客再度侵入了
他们客户的网络。
被西方官员和研究人员称为“APT10”的骇客组织，在上述云端网络内部能够造访大量客
户资讯。《华尔街日报》调查发现，数百家公司与被入侵的云端服务商有关，包括力拓、
飞利浦（Philips）、美国航空集团（American Airlines Group Inc.）、德意志银行（
Deutsche Bank AG）、安联保险公司（Allianz SE）和葛兰素史克（Glaxosmithkline
plc）。
美国联邦调查局（FBI）局长瑞伊（Chris Wray）说，骇客等同于偷走了可以入侵整座公
寓大楼的万能钥匙。
骇客目前是否还留在这些公司网络内部是一个悬而未决的问题。《华尔街日报》查阅了网
路安全公司Security Scorecard提供的数据，发现在今年4月到11月中旬期间，仍有数以
千计的IP地址在向APT10的网络反馈资讯。
现任和前任美国政府官员表示，包括美国司法部在内的美国政府机构也担忧自身可能面临
的风险，他们还担心，上述骇客攻击是否已让中国政府能够造访关键的基础设施资讯。路
透（Reuters）2019年稍早曾报导中国间谍活动范围的部分情况。
服务商隐瞒资讯外泄危机
美国政府目前表示，APT10从美国海军那里获取逾10万人的详细个人资料。美国政府内部
和外部调查人员都表示，许多大型云端服务公司试图不让客户了解公司网络内部发生了什
么事。一名调查人员说，这就好像试着堵住流沙。
据几位知情人士透露，这些云端服务公司的抵制令美国国土安全部（DHS）的官员懊恼不
已，官员现在正在设法修改联邦合约，以便迫使这些公司配合未来调查。
被问及DHS是否也遭骇客入侵时，该部发言人不予置评。美国司法部一名发言人没有回复
记者询问。
慧与公司发言人鲍尔（Adam Bauer）称，针对这些骇客入侵行为，该公司已努力为客户采
取补救措施，Bauer还表示，确保客户数据的安全是该公司的首要任务。
鲍尔表示：“我们强烈驳斥任何说慧与公司一开始就未与政府机构密切合作的指控，这种
说法显然毫无依据。”
IBM发言人巴米尼（Edward Barbini）称已经与相关政府机构共同进行调查，并说：“我
们没有发现证据表明任何敏感的公司数据遭入侵……我们已经与表达担忧的客户单独合作
。”
这次骇客攻击凸显了全球商业核心领域的薄弱环节之一。愈来愈多全球最大的公司把最敏
感的数据储存在云端服务供应商，这些供应商长期以来一直标榜安全性。云端服务供应商
也被称为托管服务提供商。
《华尔街日报》联系的许多公司都不愿透露它们是否也是此次攻击的目标。
美国航空表示，2015年曾接到慧与公司通知，称他们的系统卷入一起网络安全事件，但“
没有发现任何证据表明我们的系统或数据遭到入侵”。
飞利浦称，该公司知悉疑似来自APT10的入侵行动，并表示“到目前为止，已经处理了这
些入侵意图。”
安联保险的一名发言人表示，该公司没有发现自身系统被APT10入侵的证据。
葛兰素史克、德意志银行、力拓和Tieto不予置评。CGI没有回复多次询问。
中国政府未回复记者询问。中国政府先前已经否认过相关骇客行为的指控。
云端幽灵
研究人员表示，就APT10而言，“云端跳跃”是新型行动。APT是Advanced Persistent
Threat（高级持续威胁）的缩写，APT10是中国最难追踪的骇客组织之一。
美国国家安全局（NSA）的网络安全部负责人诺伊伯格（Anne Neuberger）说：“你们听
过那个老笑话，为什么要抢银行？”“因为里面有钱呀。”
安全公司追踪APT10已逾10年，这些骇客侵入政府、工程公司、航空公司和电信网络。关
于这个骇客组织，很多层面仍是未知谜团，不过美国检方已指控，至少部分参与者是为中
国国家安全部工作的承包商。
要侵入云端系统，骇客有时会向拥有高层级权限的网络管理员发送钓鱼邮件。调查人员称
，其他骇客则会透过承包商的系统攻入。
两位知情人士表示，力拓是最早的目标之一，而且被当成一种测试。力拓的业务涉及铜、
钻石、铝、铁矿石和铀等，该公司被攻击的时间最早可追溯到2013年，骇客是透过云端供
应商CGI侵入的。
尚不清楚骇客在攻击中究竟拿走了哪些资料，但一位了解此该案的调查人员称，了解这类
资讯，就可以在矿产公司计划的开采地点大举购买房地产。
一直在调查“云端跳跃”的FBI特务帕林沃达（Orin Paliwoda）最近在纽约某次网络安全
会议上说，APT10的运作方式基本上就像云端幽灵。他表示，它们“看起来和其他流量没
什么两样。这是一个非常严重的问题。”
普华永道（PricewaterhouseCoopers）驻伦敦高级网络调查员麦康齐（Kris 麦康齐）是
最先了解APT10行动范围的人士之一。2016年初，他在对一家国际咨询公司进行例行安全
审计时，监视器开始亮起红点，代表出现了一次大规模攻击。
起初，他的团队认为这只是偶然事件，因为攻击是通过云端、而不是该公司网络的前门进
行。之后，他们开始在其他客户那里看到同样的模式。
麦康齐说：“当你意识到这种情况已发生多次、而且实施者知道他们可以访问什么资讯、
以及如何滥用这些资讯时，你就会意识到问题的严重性。”他以保密协议为由，不愿透露
具体公司或云端服务供应商的名称。
麦康齐的团队在一个安全的楼层工作，该楼层只能透过独立电梯进入。团队中有个组别负
责清除“坏人”，另一组负责收集网络入侵的相关情况以及攻击者下一个潜在目标的情报
。
他们了解到，这些骇客是分组行动的。被麦康齐称为“星期二小组”的骇客会在某一天出
现，他们负责确保所有被盗的用户名和密码仍然有效。另一组通常会在几天后出现并窃取
目标数据。
其他时间，骇客利用受害者的dropbox等网络来存放资讯。有一家公司事后发现，有来自
五家不同公司的数据被藏匿在其网络中。
最初的几个月，麦康齐的团队开始与其他同样发现幽灵的安全公司分享情报。有时骇客会
嘲弄追击者，甚至为攻击行动注册网域名称。
Secureworks安全研究主管麦勒兰（Mike McLellan）称，很少见到中国APT组织这样嘲笑
研究人员。他还表示，APT10有时还会在恶意软件中加入侮辱研究人员的话。
骇客最重要的目标之一是慧与公司，该公司的企业云端服务替数十个国家的数千家公司处
理敏感数据。2016年慧与公司Twitter发布的一段宣传影片显示，它的客户飞利浦管理著2
万兆兆字节的数据，包括数百万条临床研究资讯以及一款面向糖尿病患者的应用程式。
知情人士透露，至少从2014年初开始，APT10一直是慧与公司面临的严重问题，该公司不
会每次都一五一十告诉客户云端问题的严重程度。
几名消息人士透露，让情况更加复杂的是，骇客侵入了该公司的网络事件应对团队。消息
人士称，慧与努力清理病毒时，骇客也对这个过程进行了监控，并再次入侵清理后的系统
，重启了整个循环。
慧与发言人Bauer说：“我们努力对骇客侵入事件进行了补救，直到我们相信入侵者已经
从涉事系统中清除出去。”
入侵事件发生期间，慧与将企业云端业务剥离到一家新公司DXC Technology。慧与当时在
公开文件中说，“安全漏洞”没有导致严重损失。
DXC发言人雅达莫尼斯（Richard Adamonis）表示：“网络安全事件没有为DXC或DXC的客
户带来严重负面影响。”
飞利浦（Philips）发言人表示，慧与提供的服务“不包括患者数据的储存、管理或转移
。”
反击者行动
第一次真正的反击行动于2017年初启动。反击者的队伍不断扩大，目前包括数家安全公司
、被感染的云端服务公司和数十家受害企业。
几位知情人士称，西方政府施压后，这些云端服务公司变得更为配合，原本有些公司一开
始还拒绝共享资讯。
首先，调查人员在受害企业的系统中植入假的行事历，让骇客误以为IT管理人员将在某个
周末外出办事，目的是诱使骇客相信，该公司尚未怀疑有不妥之处，骇客也未被公司发现
。
之后，调查人员在骇客通常活动时段以外迅速行动，立刻切断骇客的进入管道，关闭那些
遭入侵的帐户并隔离被感染的服务器。
调查人员称，APT10很快就会卷土重来并盯上新的受害者，包括金融服务公司。
IBM就是新目标之一，该公司帮许多《财星》（Fortune） 500强公司以及多个美国政府机
构提供云服务，比如美国总务管理局、内政部和美国军方。
一位发言人说，美国总务管理局与多家云端公司合作，也知道“云端跳跃”，在管理安全
威胁上保持着高度警惕。美国内政部和美国陆军不予置评。
IBM内部发生什么事不得而知。这些骇客善于隐藏，并透过多层匿名服务器发动攻击。
美国官员描述了2017年至2018年发现APT10的新骇客攻击时的恐慌感。鉴于形势极其严峻
，他们罕见公开发布警告，称骇客已经攻击了关键基础设施，包括IT、能源、医疗和制造
业。
川普（Donald Trump）政府花了几个月的时间争论如何打击骇客、应该披露哪些资讯，以
及对贸易谈判有何影响。熟悉调查的前美国官员说，他们最初希望制裁与骇客攻击有关的
中国实体，并披露约六名中国公民的身份，包括某些与中国情报机构有直接联系的人。
不过，最后只有两人被点名。知情人士表示，要实施“云端跳跃”这种骇客攻击，参与人
数比这多得多，其中包括开发者、侵入操作者，以及处理被盗资料的语言学家。在这两位
被点名的骇客中，关于Zhu Hua的个人资讯很少，他的网络暱称是Godkiller。另一名骇客
名为Zhang Shilong （网名Darling Dragon），研究人员把这些名称联结上一个发布骇客
研究相关贴文的社交媒体帐号。
目前这两人仍可能在中国境内，可能因有关共谋、电信欺诈和身份盗用的指控而面临长达
27年的刑期。美国与中国之间没有引渡条约。《华尔街日报》无法找到他们以寻求回应。
一位前美国情报官员称，当时截获情报显示，中国操作者正在庆祝他们新获得的恶名。
直到今天，这些遭窃数据将拿来做何用途外界仍所知甚少。几名调查人员表示，与其他攻
击不同的是，这些价值极高的商业数据似乎没有在暗网（Dark web）上出售。
一名现任美国政府官员称，“云端跳跃”行动仍受到联邦调查人员的极大关注，他们正在
努力查明，该行动是否与其他中国涉嫌参与的重大企业入侵事件有关。
研究人员和西方官员仍不清楚“云端跳跃”行动的最终规模，包括潜在入侵的网络总量，
以及中国最终窃取了多少数据。
虽然美国官员和安全公司表示，过去一年APT10的活动有所减少，但云端服务供应商面临
的威胁依然存在。谷歌（Google）的安全研究人员最近报告称，有俄罗斯政府背景的骇客
一直试图侵入托管服务商，这些供应商也已成为犯罪分子的目标。
前美国司法部负责国家安全的助理副部长邓波斯基（Luke Dembosky）说：“有些公司并
不知道（APT10）已经进入或还待在其网络里，这样的公司如果没有个几十家，我才会感
到震惊。他目前与受到APT10等组织攻击的公司合作。
麦康齐表示：“问题是，他们到底在做什么？他们没有消失。只是现在所做的一切我们看
不见而已。”
文／Rob Barry、Dustin Volz