超過 80 國、200 家企業受害!FBI 揭中國「鹽颱風」駭客攻擊,電信、飯店、交通個資恐全被看光
美國聯邦調查局(FBI)與澳洲、加拿大、紐西蘭、英國、捷克等十多個國家的情報與網路安全機構,在近日共同發布一份報告,指出被稱為「鹽颱風」(Salt Typhoon) 的網路攻擊活動,規模和影響範圍已遠超先前所知,各國更在報告中點名三家中國科技公司,是這場網路間諜戰的主謀。
受指控的三家中國科技公司,分別為四川聚信和網絡科技有限公司、北京寰宇天穹信息科技有限公司、四川智信銳捷網絡科技有限公司,報告指出,這些企業自 2021 年以來,持續向中國人民解放軍的多個單位和國家安全部,提供「網路相關產品和服務」。
「鹽颱風」攻擊主要是透過入侵電信、住宿和交通部門並獲得數據,讓中國情報機構能夠「識別並追蹤目標在全球的通訊和動向」。駭客會鎖定美國政治人物和官員的通話記錄,進一步建立其通話網路,並了解美國正在監控的對象。Google 威脅情報組的首席分析師 John Hultquist 指出,透過入侵飯店和交通單位,駭客可以更全面了解個人的「通話對象、所在位置和目的地」。
「鹽颱風」驚人的全球擴張速度
FBI 網路部門高階官員 Brett Leatherman 透露,「鹽颱風」間諜活動已影響全球超過 80 個國家、入侵至少 200 家美國公司,這項資訊首次揭示中國間諜活動的全球規模。
「鹽颱風」的攻擊目標相當廣泛,包括全球關鍵基礎設施,以及電信、住宿、交通、政府和軍事網路,特別是對電信公司的持續攻擊,被認為是美國歷史上最嚴重的電信網路入侵之一,AT&T、Verizon、Lumen、Charter Communications 和 Windstream 等美國主要電信業者,都曾是受害者。
利用已知漏洞展開攻擊
「鹽颱風」駭客行動最引人注目的一點是,他們主要利用網路邊緣設備上雖已修補但仍存在的已知漏洞,而非難以偵測的零日漏洞。儘管這些漏洞已有修補程式,但駭客在利用這些「可修復」的漏洞方面卻「取得了相當大的成功」。
駭客會利用這些漏洞入侵路由器和網路設備,進而修改存取控制列表、在非標準埠啟用 SSH、建立 GRE/IPsec 通道,並利用 Cisco Guest Shell 容器來維持持久性存取。對此,國際情報機構也提供相關防禦措施和建議,例如所有受影響的漏洞均已發布修補程式,組織應立即更新。此外,企業組織也應該確保網路設備配置安全並定期檢查異常變動,同時限制管理服務至專用網路以減少攻擊面。FBI 也建議美國人改用加密訊息應用程式,以避免通話和訊息被竊取。
國際合作與應對策略
英國國家網路安全中心 (NCSC) 執行長 Richard Horne 強調各組織應重視這次的國際警告。美國網路安全和基礎設施安全局 (CISA) 代理主任 Madhu Gottumukkala 則表示,透過揭露中國國家資助行為者所使用的策略,並提供可操作的指導,能夠幫助組織加強防禦,保護國家和經濟安全所依賴的系統。
FBI 表示,來自中國的「鹽颱風」威脅仍在「持續進行中」,因此國際情報與網路安全機構也呼籲各組織必須提高警惕,並採取必要的防禦措施,以應對這一不斷演變的全球性威脅。
*本文開放合作夥伴轉載,參考資料:《The Washington Post》、《TechCrunch》、《BleepingComputer》、《The Record》、《CYBERSCOOP》,圖片來源:Pixabay。