北京人民大会堂。电信网络是黑客的主要目标，关岛的系统对中国尤为重要。 Thibault Camus/Associated
Press

2月，美国在南卡罗来纳州海岸击落了中国的间谍气球，就在FBI对气球上的设备展开检查的前后，美国情报机构和微软发现了一个令他们更为担忧的入侵者：在关岛和美国其他地方的电信系统里，冒出神秘的计算机代码。微软称，该代码是由一个中国政府黑客组织安装的，这引起了人们的警觉，因为关岛拥有太平洋港口和庞大的美国空军基地，如果台湾遭到入侵或封锁，那里将成为美国军事反应的核心。该行动非常隐蔽，有时通过家庭路由器和其他常见的消费类物联网设备进行，使入侵更加难以追踪。

该代码称作“web shell后门”，这次发现的web shell是一个可以远程访问服务器的恶意脚本。家用路由器特别容易受到攻击，尤其是那些没有更新软件和防护措施的旧型号。

这与吸引美国人注意力的气球不同，气球在敏感的核设施上空旋转，而计算机代码无法被击落并进行电视直播。因此，微软周三公布了代码的详细信息，使企业用户、制造商和其他人能够进行检测并予以删除。国家安全局与其他国内机构，以及澳大利亚、英国、新西兰和加拿大的对应机构一起发布了一份长达24页的建议，将微软的发现公之于众，并对“最近发现的来自中国的一系列活动”提出了更广泛的警告。

微软称该黑客组织为“伏特台风”，并表示它属于中国政府支持的一项行动，它不仅针对通信、电力和天然气等关键基础设施，还针对海上作业和运输。目前看来，入侵似乎是一场间谍活动。但中国人有意为之的话，他们可以利用这些经过专门设计穿透防火墙的代码发起破坏性攻击。

微软表示，到目前为止，没有证据表明该中国组织利用该访问权限进行了侵犯性攻击。与俄罗斯黑客组织不同，中国的情报和军事黑客通常将刺探情报放在首位。

政府官员在接受采访时表示，他们认为该代码是中国大规模情报收集工作的一部分，该工作涉及网络空间、外太空，以及美国人发现气球事件所涉及的低层大气层。

拜登政府拒绝讨论FBI在热气球设备上发现了什么。但这艘飞行器——更确切地说是一个巨大的飞行器——显然包括专用雷达和通信拦截设备，自气球被击落以来联邦调查局一直在对它们进行检查。

目前尚不清楚的是，政府对气球上的发现保持沉默究竟是出于不想让中国政府知道美国所获悉的情况，还是为了避开气球入侵事件后出现的外交裂痕。

周日，在日本广岛举行的一个新闻发布会上，拜登总统提到气球事件使华盛顿和北京之间本已冷淡的交流陷入瘫痪。

“然后这个愚蠢气球携带着相当于两辆货车大小的间谍设备在美国上空飞行，”他告诉记者，“它被击落了，在对话方面，一切都变了。”

他预测，两国关系将“很快开始解冻”。



对关岛的关注尤其引起了一些官员们的注意，他们正在评估中国进攻或封锁台湾的能力以及意愿。 Chang W. Lee/The New York Times

中国从未承认侵入美国网络，即使在规模最大的一起事件中也是如此：在奥巴马政府期间，人事管理局大约2200万美国人的安全审查文件被盗，其中包括600万组指纹。数据外泄的过程持续了将近一年，并促使奥巴马总统和习近平主席达成协议，此后中国恶意网络活动短暂下降。

周三，中国向国内企业发出警告，要求警惕美国的黑客行为。美国针对中国的黑客行为也不少：在前国家安全局承包商斯诺登公布的文件中，有证据表明，美国曾试图侵入中国电信巨头华为的系统，以及军事和领导层目标。

电信网络是黑客的主要目标，关岛的这个系统对中国来说尤其重要，因为军事通信经常借用商业网络。

负责微软威胁情报部门的主管汤姆·伯特在采访中说，该公司的分析人员——其中许多是国家安全局和其他情报机构的资深人士——“在调查影响一个美国港口的入侵活动时”发现了这些代码。在追踪入侵过程时，他们发现了其他遭到攻击的网络，“包括关岛电信部门的一些网络”。

负责网络和新兴技术的副国家安全顾问安妮·纽伯格表示，“像今天曝光的活动这样的秘密行动是促使我们关注电信网络安全、使用可靠供应商的紧迫性的部分原因”，这些供应商的设备符合既定的网络安全标准。

纽伯格一直牵头在整个联邦政府推行针对关键基础设施的新网络安全标准。2021年，俄罗斯对科洛尼尔管道运输公司发起的勒索软件攻击中断了美国东岸的汽油、柴油和飞机燃料供应，令官员们对这些基础设施的脆弱感到惊讶。袭击发生后，拜登政府利用负责监管管道的运输安全管理局鲜为人知的权力，迫使私营的公用事业部门遵守一系列网络安全指令。

现在，纽伯格正在推动她所说的“对改善我们管道、铁路系统、供水系统和其他关键服务的网络安全的不懈关注”，包括对这些部门的网络安全做法提出要求，并与对这些基础设施面临的威胁具有“独特可见性”的公司展开更密切合作。

这些公司包括微软、谷歌、亚马逊和许多可以看到国内网络活动的电信公司。法律禁止包括国家安全局在内的情报机构在美国境内开展活动。但国家安全局被允许发布警告，正如在周三所做的那样，它与联邦调查局和国土安全部下属的网络基础设施与安全管理局一起发布了警告。

该机构的这份报告是美国政府迅速公布此类数据的相对较新举措的一部分，希望能阻止中国政府发起的类似行动。在过去的几年里，美国通常会隐瞒这些信息（有时还会将其归入保密级别），并且只与少数公司或组织分享。但这几乎总令黑客远远领先于政府。

在这种情况下，对关岛的关注尤其引起了一些官员们的注意，他们正在评估中国攻击或扼杀台湾的能力和意愿。习近平命令人民解放军要在2027年之前有能力拿下该岛。但中情局局长伯恩斯向国会指出，该命令“并不意味着他已经决定发动入侵”。

近年来，美国进行了数十次战棋推演，以便对这种攻击中可能出现的情况加以筹划，中国的首批预期动作之一将是切断美国的通信，拖延美国的反应能力。因此，演习设想了对卫星和地面通信的攻击，特别是在将调动军事资产的美国军事设施周围。

其中最重要的就是关岛，为帮助保卫台湾，那里的安德森空军基地将是美国空军许多任务的发射点，而那里的一个海军港口对美国潜艇来说至关重要。