吳明宜美國及盟國政府警告,和中國政府密切相關的網路間諜組織如 Salt Typhoon 多年來已駭入全球多個產業的骨幹及邊緣路由器,以利長期存取網路。
Salt Typhoon 也被稱為 GhostEmperor 、 Operator Panda 、 RedMike 和 UNC5807,持續在美國、澳洲、紐西蘭、加拿大和英國及其他區域進行網路間諜行動,時間長達 5 年以上。
上述國家聯合發佈的安全公告指出,涉及美加多家電信業者、美國國民警衛隊安全事件的 Salt Typhoon 至少從 2021 年以來就鎖定全球政府、電信、運輸、住宿及軍事基礎架構網路。而從這些企業竊得的資訊最終可讓中國情治單位辨識和追蹤特定目標的通訊和實際活動。單單在 2024 年,Salt Typhoon 的受害者就遍及 80 國數百家組織,令各國政府及安全專家十分頭痛。
根據安全公告,Salt Typhoon 經常濫用漏洞來駭入電信業者骨幹路由器,包括 Cisco 的 CVE-2018-0171 、 CVE-2023-20198 和 CVE-2023-20273 、 Ivanti 的 CVE-2024-21887,以及 Palo Alto Networks 的 CVE-2024-3400,不過尚未發生零時差漏洞攻擊。之後,再以此為據點轉進其他網路,或是修改路由,造成網路流量鏡射(traffic mirroring)。
而為了長久存取並迴避偵測,這群駭客也會修改路由器的存取控制表 (Access Control List, ACL) 、開啟標準及非標準傳輸埠、建立通道、並使用開原多跳 (mult-hop) 移動工具、並且列舉並且變更其他裝置的配置,然後執行各種指令。
而為橫向移動,他們也鎖定驗證協定、路由器介面、 RSVP 會話、 BGP 路由、配置檔案、網路流量、已安裝軟體,或是電信商持有的資料,再從捕獲的網路流量擷取出憑證。
此外,Salt Typhoon 也會修改伺服器配來指向控制的 IP,建立高權限使用者帳號、掃瞄傳輸埠、使用監控工具、更新路由表、並且刪除或關閉紀錄隱匿蹤跡,或是利用連線外洩資料。
歐美政府提供了 Salt Typhoon 的入侵指標 (IoC) 和防護建議,包括他們偏好駭入郵件伺服器或管理員帳號,企業應加強防範。
來源:Securityweek