FBI将疑似中国黑客入侵美国监控系统定性为“重大网络事件”

事件被定性为“重大网络事件”

FBI近日将一起涉及其监控系统的可疑入侵定性为“重大网络事件”。这个判断意义不小，说明黑客可能成功获取了存放在FBI系统中的大量敏感数据，也很可能给中国带来一次相当有分量的情报收获。毕竟，联邦机构通常不会轻易把事情升级到这个级别，规则本身就卡得很紧。

根据美国《联邦信息安全现代化法案》（FISMA），如果一次数字入侵被认定“很可能对美国国家安全造成可证明的损害”，相关机构必须在7天内通知国会议员。前FBI网络部门副助理局长Cynthia Kaiser表示，她至少自2020年以来没听说过FBI就本机构遭遇的黑客事件做出过类似认定。

她说，FISMA下的门槛“相当高”，每年宣布重大网络事件的机构也不多。翻译一下就是，FBI这回显然不是在小题大做。

哪些系统受到了影响

FBI发言人没有直接回应这次定性，而是让媒体参考该局今年3月初对事件的早前表态。FBI当时称，已经识别并处理了FBI网络上的可疑活动，并且动用了所有技术手段进行应对。

按照FISMA的指导原则，如果入侵涉及个人身份信息外泄或被破坏，或者对美国人的国家安全、外交关系、公众信任或公民自由构成明显风险，就可能达到“重大事件”的标准。

目前尚不清楚，究竟是哪项具体发现触发了FBI这次的认定。

不过，在3月提交给国会、且被POLITICO看到的通知中，FBI告诉议员，未知黑客似乎是通过“利用一家商业互联网服务提供商的供应商基础设施”闯入了一个机构系统。FBI把这描述为攻击者手法“相当复杂”的体现。

通知还写道，受影响的系统包含“法律程序回传信息”，例如 pen register 和 trap and trace 监控返回数据，以及与FBI调查对象有关的个人身份信息。

这些数据为什么值钱

Pen register 和 trap and trace 设备允许执法部门监控打往或来自某个特定电话号码的呼叫，或联网设备访问过的网站。它们不会记录通信内容，但捕获到的信息仍然很有价值，因为它可以帮助外部情报机构或有组织犯罪团伙判断FBI正在监视谁，或者在查谁。

这次FBI监控系统遭入侵，看起来并不与近期一起针对FBI局长Kash Patel个人电子邮件的、与伊朗有关的泄露事件有关。它更像是又一次提醒：中方黑客已经发展到能持续突破美国一些最敏感国家安全系统的程度。

参议院情报委员会资深民主党人、弗吉尼亚州联邦参议员Mark Warner说，这起事件再次说明，像中国这样的高级网络对手带来的威胁并没有消失，反而“每天都在变得更具侵略性”。

牵动跨部门应对机制

按照FISMA，只要机构宣布发生重大事件，还应启动跨部门的网络应对机制。目前尚不清楚这一机制是否已经被激活，也不清楚这起入侵是否已经被控制住。

白宫和美国网络安全与基础设施安全局（CISA）的单独发言人都把问题转给了FBI。国家安全局（NSA）则没有回应置评请求。

据两名知情的美国官员说，白宫在3月初召开过一次关于这起入侵的会议，出席者包括FBI、NSA和CISA官员。

中方黑客的老套路

过去，中国黑客曾经多次把商业通信服务提供商当作跳板，用来进入联邦网络，或者获取敏感的国家安全数据。

其中一个被称为 Volt Typhoon 的中国黑客组织，已经深入渗透美国的关键基础设施，包括港口、水利设施和能源变电站。另一个被命名为 Salt Typhoon 的组织则入侵了美国一些最大的电信运营商。后者的黑客行动最早在2024年底曝光后显示，中国黑客能够窃取数百万美国人的通话记录，查看FBI监听数据，还能从当时总统候选人Donald Trump的手机中窃取未加密通信内容。

第一名美国官员表示，他们认为FBI反应很快，及时处理了这起事件。不过这位官员也承认，被自己负责追踪的那批黑客闯进门，面子上确实不太好看。

另一名知情人士则说，这件事再次说明，只要有未修补的漏洞，或者系统架构存在弱点，像这类水平的国家级对手就一定会下手。网络安全世界一向如此，惊喜通常不是什么好消息。