(来源纽约时报)
位于马里兰州米德堡的NSA总部。“我们没有利用对外情报能力来窃取外国公司的商业机密,”一名NSA官员表示。
华盛顿——美国国家安全局(National Security Agency,简称NSA)已在全球近10万台计算机上植入了间谍软件,因此该机构不仅可以在这些设备上开展监控行动,还可以创建一条发动网络攻击的数字通道。

从NSA的文件、计算机专家和美国官员的说法来看,虽然大部分软件是通过访问计算机网络的方式植入的,但NSA已经越来越多地采用一项秘密技术来进入计算机并修改数据,即使这些设备没有连接到互联网上。NSA至少从2008年就已经开始使用这项技术:把可以传输无线电波的微型电路板和USB卡偷偷安插到计算机里,然后依靠无线电波的一条隐蔽信道获取信息。在某些情况下,无线电波被传输到一个公文包大小的中继站上。情报机构可以在离目标数英里之外的地方设置这种中继站。
NSA全球监控无孔不入
澳大利亚曾协助NSA收集情报
这种无线射频技术帮助美国情报机构解决了多年来面临的最大问题之一:入侵对网络刺探或攻击采取了防范措施的敌方及某些合作伙伴的计算机。在多数情况下,这种射频硬件必须由间谍、生产商或不知情的用户亲手插入计算机。

NSA称,这种活动是面对外国网络攻击的一种“主动防御”手段,而不是发起进攻的工具。但是,当中国攻击者把同类软件植入到美国公司或政府机构的计算机系统上时,美国官员却会提出抗议,而且往往是总统级别的抗议。

美国网络战司令部(United States Cyber Command)是NSA在五角大楼的合作伙伴。这两家机构最常针对的目标中包括中国军队。美国指责中国,常规性地对美国工业和军事目标发起数字刺探和攻击活动,通常是为了窃取情报或知识产权。此外,从美国官员的说法和NSA的一张地图来看,这个代号为“量子”(Quantum)的计划也已经成功地把软件植入到俄罗斯军事网络、墨西哥警方与贩毒集团使用的系统、欧盟贸易机构,以及沙特阿拉伯、印度和巴基斯坦等反恐合作伙伴的系统中。该地图显示了NSA的“计算机网络利用”站点。

“这里的新情况是,NSA入侵计算机和网络的规模及精密度,以前没有人办到过,”华盛顿国际战略研究中心(Center for Strategic and International Studies)的网络安全专家詹姆斯·安德鲁·刘易斯(James Andrew Lewis)说。“其中一些能力并不是新近获得的,但学习如何渗透到系统中以便植入软件,以及学习如何使用无线射频技术获取信息,这两者结合起来,就给美国提供了一个前所未有的窗口。”

没有针对美国境内的迹象

没有任何证据表明,NSA在美国境内植入过相关软件,或者使用过无线射频技术。NSA拒绝对“量子”计划的规模予以置评,但表示自己的行动跟中国的没有可比性。

“NSA的行动具体集中在打击——并且仅仅打击——外国情报目标以满足情报需要上,”NSA的女发言人范妮·瓦因斯(Vanee Vines)在一份声明中说。“我们没有为了美国企业来利用对外情报能力窃取外国公司的商业机密,也没有把我们收集到的情报提供给美国企业,以便提高它们的国际竞争力或盈利水平。”

过去两个月里,NSA前承包商雇员爱德华·J·斯诺登(Edward J. Snowden)泄露的文件已经曝光了该计划的部分内容。一份荷兰报纸刊登了标明美国植入的间谍软件覆盖地区的地图。NSA有时与地方当局合作植入的这种软件,但往往都是秘密进行的。德国新闻杂志《明镜》(Der Spiegel)刊登了NSA的一份硬件产品手册。这些设备可以秘密发送并接收计算机的数字信号,其所属项目名为ANT。《纽约时报》于2012年夏天报道美国对伊朗展开的网络攻击时,曾在美国情报官员的要求下,隐瞒了一些这类细节。

奥巴马总统计划在周五宣布,他将采纳顾问小组给他提供的关于改变NSA做法的哪些建议。该小组同意硅谷高管的看法,认为NSA用来查找计算机系统漏洞的某些技术,在世界范围内削弱了对美国制造的一系列IT产品的信心,比如笔记本电脑和云服务。

该小组听取了硅谷对NSA的批评,建议禁止NSA利用常用软件中的缺陷来协助监控和网络攻击活动,极端情况除外。它还呼吁政府停止削弱公众可以获取的加密系统,并称政府永远都不应当开发入侵计算机系统并对之加以利用的秘密途径,这有时也包括软件植入。

曾在克林顿政府和布什政府中供职的查德·A·克拉克(Richard A. Clarke)是这个五人顾问小组的成员之一。他上周在一封邮件中对顾问小组的论述做出了解释,称“保卫自己比进攻他人更重要”。

“对我们而言,加密软件中的漏洞更多的是一种风险,而不是好处,”他说。“如果我们能找到可乘之机,其他人也能。保护我们自己的电网比入侵中国的电网更重要。”

从互联网时代的早期开始,NSA在监控网络活动这一点上就几乎没遇到过什么困难,因为绝大部分讯息和搜索都要经过设在美国领土上的服务器。随着互联网的扩张,NSA了解网络的努力也随之加强。一个名为“藏宝图”(Treasure Map)的计划试图对网络的每一个节点和角落加以辨识,这样一旦任何电脑或移动设备接入网络,便能确定它们的方位。

斯诺登收集到了一幅2008年的地图。图上标出了20个意在进入大型光纤电缆的项目,地图上称这些电缆为“隐蔽、秘密或合作性的大型接入点”。这些项目涉及的地方不仅有美国,还有香港、印尼和中东等地。这幅地图还表明,美国已经实施了“5万多次全球范围的植入”,而且一份时间更靠后的预算文件称,到去年年底,这一数字将增加到大约8.5万。一名要求匿名的高官称,实际数字极有可能接近10万。

这幅地图表明,美国是如何在全球范围内针对自己最想监控或破坏的计算机快速植入恶意软件,赶在它们被用来进行网络攻击之前。

防御为主

在采访中,一些官员和专家表示,这种植入绝大部分只是为了监控,或是作为早期报警系统,对象是指向美国的网络攻击。

“你如何确保网络战司令部的人”能够看到“那些正在攻击我们的人呢?”一名高官在几个月前接受采访时说。这名高官将之比作潜艇战。

“这就是潜水艇一直在做的,”要求匿名介绍相关政策的这名官员说,“它们会追踪敌方潜艇。”他说,在网络空间里,美国试图“在对手试图偷偷追踪自己时悄悄追踪对方”。

如果说追踪潜艇是冷战时期与苏联进行的猫捉老鼠的游戏,那么追踪恶意软件这场角逐最主要的对手则是中国。

在一项旨在探究那些正在筹备中的攻击的行动中,美国锁定了61398部队。据信,驻扎在上海的这支中国部队应为美国遭受的许多大型网络攻击负责。NSA的一份文件显示,在澳大利亚的帮助下,美国还把目光集中在了中国另外一支部队上。

斯诺登获得的文件显示,美国还在中国设立了两个数据中心——或许是通过挂名公司成立的,来把恶意软件植入到电脑里。

当中国把监控软件植入到美国计算机系统——他们已经在五角大楼和《纽约时报》的计算机系统上植入了相关软件,美国往往认为这是一种含有潜在敌意的行为,可能是攻击的前奏。去年6月,奥巴马在加州与中国主席习近平举行了首脑会谈,并在一次长时间会晤期间向习近平表达了美国对这些做法的不满。

在那次会谈期间,奥巴马试图把为了国家安全进行监控——美国声称这种做法是合法的——和为了窃取知识产权进行监控区别开来。

“这个理由不起作用,”布鲁金斯学会(Brookings Institution)的彼得·W·辛格(Peter W. Singer)说。与人合著了《网络安全与网络战》(Cybersecurity and Cyberwar)一书的他说,“在中国看来,获取经济优势是国家安全的一部分。而且,斯诺登的泄密缓解了”中国的“很多压力”。不过,美国依然禁止中国大型生产厂家华为向美国出售计算机服务器,因为担心它们可能包含渗入美国网络的技术。

古老的技术

为了努力触及未联网的电脑,NSA一直依靠的是一项存在了一个世纪之久的技术,并将其改头换面以适应时代的需求。这项技术就是:无线电传输。

斯诺登在欧洲公布的文件中,有一份NSA制作的手册,列有数不胜数的设备,其中采用的技术会让给詹姆斯·邦德(James Bond)提供技术的Q博士喜笑颜开。

有一款代号为“棉口蛇1代”(Cottonmouth I)的设备,外形像普通的U盘,内里却藏有微型无线电收发机。按照手册的描述,它能“通过秘密频道”传送从电脑中搜集的信息,从而让“数据悄然进出”。另一项类似的技术则涉及微型电路板。它可以被安插到笔记本电脑中——无论是现场完成,还是在生产商运送电脑的途中——从而向NSA传输信息,即便用户错误地认为,不联网意味着得到了真正的保护。

与这种电路板联络的是代号为“床头柜”(Nightstand)的中继站。它能装进大号手提箱,而且“在理想环境条件下”系统可以“从远至八英里外的地方”攻击电脑。它还能在毫秒级的时间内植入大量的数据包,这就意味着,伪装的信息或程序可比正常数据更快地抵达目标计算机。类似的中继站让目标计算机与NSA之间连接起来,虽然计算机器本身并未联上互联网。

电脑并非唯一的目标。“遗失吉普”(Dropoutjeep)软件能攻击iPhone。还有其他一些软硬件的设计用途是感染大型网络服务器,包括中国制造的服务器。

一些专家透露,上述代号与产品中,多数在至少五年前就已出现,并得到了更新,目的是让美国更少地依赖于将硬件植入对方的计算机系统中。

NSA拒绝对包含这些描述的文件发表评论,尽管文件本身已在欧洲公之于众。

“持续并有选择性地公布NSA用来追踪正当外国情报目标的特定技术与工具的做法,有损于美国及盟友的安全,”NSA的女发言人瓦因斯表示。

不过,伊朗等国数年前已察觉了其中的部分技术。NSA手册列举的硬件在针对伊朗核设施的黑客攻击中起到了关键作用。此轮攻击代号“奥运会”(Olympic Games),始于2008年前后,延续到2010年的夏天,也就是一项技术故障暴露了其中的攻击软件的时候。这款软件后来被称为“震网”(Stuxnet)。此次事件是相关技术首次经受重大考验。

“震网”攻击的一个特征是,美国悄然植入纳坦兹工厂的技术能够描绘该厂的运作方式,并将细节“传回大本营”。后来,这款设备被用于植入病毒,从而摧毁了近1000台离心机,让伊朗核计划遭受了暂时的挫折。

然而,“震网”攻击看来并非是相关技术最后一次用于伊朗。2012年,伊斯兰革命卫队(Islamic Revolutionary Guards Corps)的一个小组在福尔多地下铀浓缩厂附近移动了一块石头。引爆后,石头喷出了毁坏的电路板。伊朗新闻媒体称,这是“能从工厂电脑中截获数据的设备的残余部分”。设备的来源一直未被确定。

周日,伊朗半官方的法尔斯通讯社(Fars)称,该国石油部针对黑客攻击的可能性又发出了警告,并且描述了自身正在打造的一系列防御措施。警告中并未提及,伊朗本身被外界怀疑,要对沙特阿拉伯最大的石油生产商遭受的攻击负责。