国家支持的网络间谍活动:利用人工智能工具瞄准全球能源与国防基础设施
TL;DR
国家支持的网络间谍活动:全球基础设施面临的新前线
一个由多国情报机构组成的全球联盟终于揭开了大规模、长期网络间谍活动的内幕。罪魁祸首是谁?是与北京有着深厚联系的国家支持的行动者。这不仅仅是一系列随机的黑客攻击,而是一场系统性的、持续多年的努力,旨在深入挖掘现代世界的数字基础。至少从2021年起,这些操作者就开始入侵骨干网和边缘路由器,将自己深植于维持政府、军队和电信系统运行的网络中。
该行动的执行方式具有惊人的企业化特征。它依赖于一个空壳公司网络——例如四川聚信合网络科技有限公司、北京环宇天穹科技有限公司和四川智信锐杰科技有限公司——这些公司充当了中国情报部门(包括中国人民解放军和国家安全部)的技术打手。正如美国网络安全与基础设施安全局(CISA)的公告所明确指出的,此次行动的范围令人震惊,覆盖了美国、英国、澳大利亚、加拿大和新西兰。
策略:渗透重于窃取
忘掉过去那种黑客只为窃取信用卡号或知识产权的时代吧。这里的目标要阴暗得多。这些行动者在下一盘大棋,将自己嵌入社会的“管道”中——即能源、水利、交通和通信系统。
新泽西州网络安全与通信集成中心(NJCCIC)一直在追踪 Volt Typhoon、APT41 和 Salt Typhoon 等组织,并指出他们不仅仅是路过;他们正在我们最关键的网络内部“安家”。为什么?这是为了获取筹码。通过在这些领域建立持久性,这些行动者正为在未来地缘政治紧张局势(例如台湾或南海问题)升级为公开冲突时,进行破坏或瘫痪军事动员做准备。如果他们能通过拨动开关来切断电网或排干供水,他们就不需要赢得一场传统的战争。他们只需要让抵抗的代价变得高不可攀。
人工智能的倍增效应
游戏规则已经改变,而人工智能是其中的原因。正如近期关于 人工智能与网络间谍活动 的研究所探讨的那样,人工智能已将曾经劳动密集型、以人为核心的工作,转变为自动化的、高速的漏洞搜寻过程。
算法不会疲倦。它们不需要休息。它们可以同时扫描数千个网络,识别弱点并在极其复杂的环境中保持访问权限,而这些环境足以让一名人类操作员感到困惑。这种转变给国际法带来了巨大的难题。你如何让一个民族国家为自动化的、自我传播的入侵行为负责?我们基础设施的互联性意味着,一个被入侵的电信节点可能会引发灾难性的多米诺骨牌效应,而国家支持的行动者深知这一点。
目标地图
要了解利害关系,请看看这些行动将精力集中在哪些领域:
| 行业 | 主要目标 | 潜在影响 |
|---|---|---|
| 电信 | 网络持久性 | 监视与拦截 |
| 能源/电力 | 系统控制 | 电网故障与中断 |
| 水利/公用事业 | 基础设施访问 | 服务中断 |
| 政府/军事 | 战略情报 | 动员受阻 |
防御之墙
国际社会的反应——一个包括美国国家安全局(NSA)和联邦调查局(FBI)等重量级机构在内的13国联盟——承认旧有的“边界”防御已经失效。这些攻击者不是在破门而入;他们是拿着偷来的钥匙大摇大摆地走进来。他们使用合法的凭据和远程访问工具隐藏在众目睽睽之下,通常潜伏在连接互联网与现实世界的提供商边缘(PE)和客户边缘(CE)路由器中。
如果我们想阻止这种情况,策略必须改变:
- 加固边缘设备: 是时候将路由器视为高价值目标了。严格的访问控制和积极的固件补丁不再是可选项。
- 凭据管理: 如果你没有在所有地方使用多因素身份验证(MFA),你基本上就是把保险箱敞开着。我们需要像鹰一样盯着异常的登录模式。
- 网络分段: 不要让办公 Wi-Fi 与电网控制系统通信。保持关键系统隔离,这样即使一个部门被攻破,也不会导致整个系统崩溃。
- 持续监控: 基于特征的检测已是昨日黄花。我们需要能够寻找行为异常的工具——那些预示着长期入侵者正在系统中移动的细微“错误”。
法律灰色地带
我们目前正处于技术与法律的竞赛中。《塔林手册》(Tallinn Manual)仍然是国际法如何适用于网络战的黄金标准,但它难以跟上人工智能的速度。决策者面临着一个巨大的、悬而未决的问题:当“武器”是一行自动执行间谍活动的程序代码时,什么才构成战争行为?
随着地缘政治气候变得更加动荡,对我们基础设施的威胁不会消失。它是现代世界的一个永久特征。向针对社会运营骨干的转变是一个明显的升级,它需要积极、统一的响应。如果我们希望在下一个战争可能始于闪烁的灯泡和无声的数字入侵的时代建立必要的韧性,我们就必须了解这些 威胁态势 的历史。
