5月,俄罗斯士兵在纪念反法西斯战争胜利日的阅兵式上列队行进。自2022年俄罗斯入侵乌克兰以来,黑客组织似乎对俄罗斯的目标更感兴趣了。 Maxim Shemetov/Reuters
据网络威胁分析师称,自从俄乌战争爆发以来,与中国政府有关的组织多次侵入俄罗斯企业和政府机构的网络,似乎是为了搜寻军事机密。中国的网络黑客活动在2022年5月加速,也就是俄罗斯全面入侵乌克兰仅数月后,而且此后一直在稳步进行,即便俄罗斯总统普京和中国国家主席习近平公开表示两国的合作与友谊进入一个重要时刻,中国组织也在不断渗透进俄罗斯的网络系统。
这些黑客攻击行动表明,尽管两国有合作关系,而且多年来承诺互不攻击对方网络,但中国仍将俄罗斯视为一个易受攻击的目标。据台湾网络安全研究公司TeamT5的说法,2023年,一个名叫Sanyo的组织为猎取有关核潜艇的信息,冒用一家俄罗斯大型工程公司的电子邮件地址。TeamT5去年发现了那次攻击,并发现与中国政府有关。
虽然中国比俄罗斯富裕得多,而且自身并不缺乏科学和军事专业能力,但中国的军事专家们经常对中国军队缺乏实战经验感到遗憾。专家们认为,中国把俄乌战争视为收集有关现代战术、西方武器装备及其应对策略信息的一次机会。
“中国可能寻求收集俄罗斯活动的情报,包括俄罗斯在乌克兰的军事行动、国防发展,以及其他地缘政治方面的战略举措,”TeamT5的研究员张哲诚说。
目前尚不清楚这些尝试取得了多大成功,部分原因是俄官员从未公开承认有过这些黑客活动。但俄罗斯联邦安全局的一份反情报保密文件明确表示,情报官员们对此担忧。《纽约时报》已获得了该文件,文件称,中国正在寻求俄罗斯的国防专业知识和技术,并试图从俄罗斯在乌克兰的军事行动中吸取经验。该文件把中国称为“敌人”。
由于西方已基本上不再与普京打交道,他的国家日益依赖中国购买石油,并向其出售对战争努力至关重要的技术。俄罗斯已与中国结成一个共同对抗美国及其盟友的国家集团,这引起了西方领导人的担忧。俄罗斯联邦安全局的文件描述的两国关系比习近平和普京口里的“无止境”伙伴关系要复杂得多。
虽然盟友之间互相刺探情报是常有的事,但中国针对俄罗斯的黑客活动规模之大,既表明了一种更高程度的互不信任,也表明了克里姆林宫不愿与中国分享从乌克兰战场上获得的所有信息。
该文件称,中国对无人机的作战方法和软件尤其感兴趣。
“俄乌战争从根本上改变了两国情报工作的重点,”网络安全公司Palo Alto Networks的高级研究员伊泰·科恩说,他多年来一直在追踪中国的黑客组织。专家们说,该文件表明,中国想学习俄罗斯的战争经验,以增强自身对未来潜在冲突的准备。具体来说,台湾是中国与西方国家发生冲突的一个潜在爆发点。
据Palo Alto Networks称,为获取有关卫星通信、雷达以及电子战的信息,一个由中国政府资助的组织已将俄罗斯实力雄厚的国有国防企业集团俄罗斯国家技术集团作为目标。另一些攻击者则利用恶意文件,意图通过微软Word的漏洞渗透进入俄罗斯航空业目标及国家机关。
克里姆林宫和中国驻莫斯科大使馆未回应置评请求。
并非所有的中国黑客组织都受政府指使。但安全专家已看到了它们与政府存在关联的证据。
例如,俄罗斯网络安全公司Positive Technologies曾在2023年表示,俄罗斯的多个目标遭到网络攻击,包括航空航天、私营保安企业,以及国防领域。黑客们使用了一种名为 Deed RAT的工具,中国政府支持的黑客普遍使用这种工具。网络安全专家们说,这些黑客组织把Deed RAT工具看作“专利品”,不像其他恶意软件工具那样能在暗网上买到。
这使得中国政府支持的黑客组织能够更广泛地使用这个工具,因为他们的对手难以找到对抗该恶意软件的方法。
俄罗斯士兵在克里米亚辛菲罗波尔接收无人机,摄于2023年。俄罗斯国内安全机构的一份文件指出,中国尤其对无人机的作战方式感兴趣。 Alexey Pavlishak/Reuters
中国政府支持的黑客组织经常把国际企业和外国政府机构作为目标,包括美国和欧洲的企业和机构。但自从俄罗斯2022年2月入侵了乌克兰后,这些黑客组织似乎对俄罗斯目标表现出更大兴趣。
张哲诚说,他和他的同事们追踪了几个针对俄罗斯目标的中国黑客组织,其中包括中国最活跃的黑客组织之一“野马熊猫”。
据研究该组织的人说,外界对野马熊猫的起源以及它在中国境内的运作地点知之甚少。该组织的活动通常伴随着中国的“一带一路”经济发展倡议,安全公司Sophos的威胁情报总监雷夫·皮林说。他表示,随着中国在西非和东南亚投资发展项目,黑客活动也随之而来。
皮林表示,这可能是因为中国在存在政治和经济利益的国家进行投资,引发了国家支持的黑客们的兴趣。
俄罗斯入侵乌克兰后,TeamT5说,野马熊猫扩大了攻击的目标范围,把俄罗斯和欧盟的政府机构也包括进来。
皮林多年来一直在追踪野马熊猫的活动,他说,他觉得该组织得到了中国主要的情报机构国家安全部的支持。他说,国安部支持攻击全球目标的中国黑客组织。2022年,野马熊猫曾把西伯利亚中国边境附近的俄罗斯军官和边防部队作为侵入目标。
“我们观察到的目标选择往往是为了收集政治和军事情报,”皮林说。所有针对俄罗斯的中国黑客组织都是这样,他说。“我认为它们是中国政府收集政治和经济情报的主要工具之一。”
野马熊猫也已引起了美国当局的注意。今年1月,美国司法部和联邦调查局称,野马熊猫的恶意软件已感染了数千个计算机系统,试图窃取信息。据一份联邦起诉书,虽然许多目标针对的是美国人,但中国的异见人士以及欧洲和亚洲政府的计算机上也找到了该恶意软件。
起诉书明确指出,美国认为野马熊猫是一个政府支持的组织。
其他中国组织也已把俄罗斯作为攻击目标。张哲诚说,他的团队正在追踪另一个名为Slime19的威胁性组织,该组织正在接连不断地把俄罗斯的政府、能源和国防部门作为侵入目标。
中俄曾在2009年和2015年签署协议,承诺不把对方作为网络攻击的目标。但分析人士当时就认为,该声明在很大程度上是象征性的。
中国针对俄罗斯的黑客攻击并非始于俄乌战争。例如,中国2021年的一次网络攻击曾把俄罗斯的潜艇设计师作为目标。但专家们说,俄乌战争引发了计算机入侵事件的激增。
“我们在俄罗斯全面入侵乌克兰后的几个月里就马上看到了这种活动,”科恩说。“尽管公开的叙事只提俄中关系密切。”