2024年4月3日

 

美國網路安全審查委員會（CSRB）星期二（4月2日）表示，去年對美國高級官員電子郵件系統的中國駭客攻擊是“可以避免的”，並指責科技巨頭微軟（Microsoft）在網路安全措施上的疏漏及缺乏透明度的做法。

美國國土安全部（DHS）下的網路安全審查委員會（CSRB）發佈最新報告。委員會發現，微軟在該次事件中做出的一系列決策，降低了企業安全、風險管理以及客戶對保護其資料和運營的信任。

這次入侵源於一名微軟工程師的公司帳戶被名為Storm-0558的駭客組織滲透，該組織據信與中華人民共和國有關聯。

微軟表示：“雖然沒有任何組織能夠完全免於資源豐富之對手發起的網路攻擊，但我們已經動員我們的工程團隊來識別和改善老舊的基礎設施，優化流程，並強制實施安全標準。”

“我們的安全工程師正在不斷強化我們的系統防禦能力，部署更加強大的監測和日誌系統，以便更有效地檢測並抵禦對手網路軍團的攻擊。我們也會根據最終報告提出的建議進一步審查和調整。”

審查委員會建議微軟針對其全部產品進行以安全為核心的改革。

“全國各地的個人和組織每天都依賴雲服務，這項技術的安全性從未如此重要，”國土安全部部長亞曆杭德羅·馬約爾卡斯（Alejandro Mayorkas）表示。

“國家級行為者侵入雲服務系統的能力不斷增強。像CSRB這樣的公私合作夥伴關係，對我們應對這些國家行為者所構成的嚴重網路威脅的努力至關重要。國土安全部感謝委員會對Storm-0558事件的全面審查和報告。委員會建議採取的措施將在未來幾年加強我們的網路安全。”

去年6月，一個代號為Storm-0558的中國網路間諜組織，利用微軟雲的漏洞，攻破了美國幾十個機構的電郵系統，其中包括政府機構。美國商務部及美國國務院的許多電郵帳號，商務部長吉娜·雷蒙多（Gina Raimondo）、美國駐中國大使尼古拉斯·伯恩斯（Nicholas Burns）和負責東亞事務的助理國務卿康達（Daniel Kritenbrink）等高級官員都未能倖免。

微軟雲的漏洞是在國務卿安東尼·布林肯（Antony Blinken）訪問北京前後由國務院發現的。

微軟事後通過博客文章解釋了駭客是如何從該名工程師的帳戶中提取加密金鑰進而使用，並表示已經修復漏洞。但此案引發對微軟安全性的新審查和對該公司作為進行調查的呼籲，因此CSRB針對此案展開獨立審查。

多年來，美國官員一直在警告中國駭客的活動，但美國聯邦調查局（FBI）局長克裡斯·雷（Chris Wray）最近做出更加嚴厲的警告。

雷去年9月在一場會議中表示：“中國已經擁有比所有其他主要國家加在一起還要龐大的駭客計畫。”他說，“如果FBI的每一位元網路特工和情報分析師都只專注於針對中國，中國駭客的數量仍是我們網路安全人員的至少50倍。”

中國國家安全部星期二（4月2日）發文否認有關指控，並呼籲美方“立即停止對中國的污蔑抹黑和網路攻擊”。