美國與關島關鍵基礎架構遭入侵竊密 元兇揪出是中國駭客組織

微軟發現，一個中國國家駭客組織已經長期滲透進全美及關島的關鍵基礎架構，且正在竊取網路存取憑證及敏感資料。

Volt Typhoon 使用離地攻擊手法已逾兩年

微軟周三連同美國、英、加、紐、澳等國政府單位發佈此項報告。這個微軟名為 Volt Typhoon 的組織已經活動兩年，旨在為中國政府從事間諜行動及資訊蒐集。為避免被發現，駭客運用了名為「離地攻擊」(living off the land) 的手法，在受害者裝置上安裝惡意程式以便遠端手動控制，之後將檔案壓縮外傳，蒐集到的網路存取憑證則使其得以長期潛伏。美國方面的政府單位包括美國網路安全暨基礎架構安全署 (CISA)、聯邦調查局 (FBI)、以及澳洲、紐西蘭、英國與加拿大的網路安全主管機關。

微軟研究人員表示，這波行動可能旨在破壞美國和亞洲國家之間未來發生危機時的通訊基礎架構。關島是美國太平洋區駐軍基地所在地。隨著台海危機升溫，關島的重要性也大為提升。

安全裝置反成跳板

微軟發現 Volt Typhoon 行動一開始是駭入連上網際網路的 Fortinet FortiGuard 裝置。他們是利用未來得及修補漏洞的 FortiGuard 裝置，取得該網路的 AD 存取憑證。由於 AD 上儲存了用戶名稱、密碼雜湊及其他帳號的敏感資訊。駭客之後就利用這些資訊感染網路上其他裝置。

受到影響的產業包括通訊、製造、公用事業、運輸、建築、海事、政府機關、IT 業、教育業等。
除了離地攻擊手法，駭客並利用他們駭入的家用及小型企業路由器、防火牆與 VPN 作為中介點，以便連向受害者裝置。他們將其網路流量經由 SOHO 網路裝置包括華碩、思科、D-Link 及 Netgear、合勤 (Zyxel) 導向受害者裝置，使受害者的 HTTP 或 SSH 管理介面曝露於公開網路上。

注意陌生 IP 的活動

多數情況下 Volt Typhoon 是以有效憑證存取受害裝置，一如合法用戶。但少數情況下，微軟觀察到駭客組織會在受害系統上建立代理伺服器以加速存取。

為避免追蹤，它們還使用開原碼工具 Impacket 及 Fast Reverse Proxy (FRP) 在代理伺服器上建立 C&C 通道。

研究人員建議管理員應安裝防毒及安全軟體，並掃瞄網路是否有異常登入活動；受害單位會看到從陌生 IP 的成功登入，甚至還有指令行 (command-line) 活動。

來源：Ars Technica