中國關聯的駭客組織 Salt Typhoon 其主要目標是針對大型電信公司
根據《華爾街日報》報導,包括 Verizon、AT&T 和 Lumen Technologies 在內的多家美國電信公司日前遭遇到網路攻擊,幕後黑手是名為 Salt Typhoon (鹽颱風) 的中國駭客組織。
這次攻擊行動的背後目的很可能是為了蒐集情資,因為駭客很可能已經存取了美國聯邦政府所使用的法院授權的網路竊聽系統。
Salt Typhoon駭客組織是一個與中國有密切關係的進階持續威脅 ( APT ),已滲透進多家大型寬頻供應商。根據熟悉此次事件的消息人士,Salt Typhoon 針對這些電信網路用以竊取機敏資訊,其中可能包括有關政府竊聽行動的資料。這種竊聽系統對於執法部門監控可疑人士以及打擊犯罪組織至為重要。
《華爾街日報》報導指出,這次攻擊事件是在最近幾週發現的,美國政府和私營單位的資安專家正著手進行調查。瞭解入侵事件相關資訊的人士透露,這次攻擊的影響,包括目前觀察到和已洩漏的資料數量以及類型,仍在審慎評估當中。
自 2019 年以來 Salt Typhoon 開始進行活動,他們被認為是一個縝密且熟練的駭客組織,主要目標是針對東南亞地區的政府單位和電信公司。
該駭客組織通常利用系統漏洞來獲取對目標網路的初始存取權限,例如像是Microsoft Exchange Server 中的ProxyLogon 漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858 和 CVE-2021-27065)。
早前肇因於 Salt Typhoon/ Ghost Emperor 的網路攻擊中,駭客組織使用的手段包括了一種名為SparrowDoor的訂製型後門程式、用來提取身份驗證資料的客制化 Mimikatz (漏洞檢測工具) 工具,以及 Windows kernel-mode rootkit (載入到作業系統核心中的惡意軟體) Demodex。
近年來中國 APT 駭客組織有越來越多的網路間諜活動是針對美國和歐洲地區的網路設施和 ISP (網路服務供應商) 來進行的。
今年 8 月,Lumen 黑蓮花實驗室的資安研究人員透露,被稱為「Volt Typhoon」的中國駭客組織利用 Versa Director (網路服務管理平臺) 中的零日漏洞以竊取身份驗證資訊並駭入企業網路。在這些攻擊中,駭客侵入了美國和印度的多個 ISP 以及 MSP (託管服務供應商)。不過一般相信這系列事件與最新的攻擊事件並無關聯。
雖然這些攻擊是歸咎於不同的中國駭客組織,不過可以相信他們的運作是在同一張保護網之下,而且有共享基礎設施以及駭客工具。
Salt Typhoon 的一系列行動顯示出美國和其他國家的重要基礎設施所面臨的持續性風險,更重要的是如何改善網路安全防護以因應愈加縝密複雜的網路攻擊行動。
Salt Typhoon 的崛起以及對 AT&T 和 Verizon 等電信巨頭進行滲透的事件尚未停歇,伴隨著更多細節的浮現,產業領導者和政府必須思考對策,主動加強防禦、共享威脅情資並共同攜手合作,在駭客出手之前預先做好準備。
企業或電信網路服務廠商面對駭客組織的網路攻擊,竣盟科技 建議採取多層次的防備措施來減少風險和損失。以下是一些關鍵的防備步驟:
- 資料備份與復原計畫:定期備份重要資料於與主系統隔離的安全位置。
- 更新軟體與弱點掃描:定期更新所有系統的作業系統、應用程式和防毒軟體;另外應定期檢查系統中可能存在的安全漏洞。
- 多因子身份驗證 (MFA):限制未經授權的使用者進入關鍵系統。
- 網路分段 (Network Segmentation):通過將網路進行分段,限制惡意軟體在被攻擊系統中的橫向移動。
- 行為監控與威脅偵測:使用端點偵測與回應 (EDR) 工具,以及威脅情報分享。
- 與外部專業團隊合作:與專業的資安公司合作,進行資訊安全評估、滲透測試等服務,以提升企業的資安防禦能力。