新聞

聯合情資示警:中國政府支持的網路間諜行動鎖定各國電信網路

2024 / 12 / 06
編輯部
聯合情資示警:中國政府支持的網路間諜行動鎖定各國電信網路
澳洲、加拿大、紐西蘭和美國發布聯合情資示警,中國政府支持的駭客組織正針對電信業者進行大規模網路間諜活動。這些駭客主要透過受害基礎設施的既有漏洞進行入侵,目前未發現任何新型攻擊手法。

儘管美國進行了六個月的調查,這些駭客仍潛伏在美國電信網路中。這些攻擊被歸因於中國政府支持的駭客組織「鹽颱風」(Salt Typhoon),該組織與 Earth Estries、FamousSparrow、GhostEmperor 和 UNC2286 等駭客組織的活動有所重疊。鹽颱風自 2020 年開始活躍,其部分攻擊工具最早可追溯至 2019 年。

上週美國電信商T-Mobile承認偵測到駭客入侵企圖,但強調客戶資料未受影響。此攻擊事件於今年9月底首次曝光,外媒報導指出「鹽颱風」入侵多家美國電信公司竊取敏感資訊,而中方已否認所有指控。

白宮證實此次行動已影響美國八家電信公司,並擴及數十個其他國家。這些攻擊活動始於兩年前,但受影響的完整公司和國家清單尚未公開。美國國家顧問進一步表示,雖然這些攻擊使中國能夠存取「大量美國人的中繼資料」,但目前未發現任何機密通訊遭到洩露的證據。

「鹽颱風」雖然近月來的活動天數僅有個位數,但在不同電信基礎設施間跳轉的手法被認定為「新型態」攻擊。

延伸閱讀:中國駭客組織「鹽颱風」利用新型 GhostSpider 後門程式攻擊電信業者

為因應此類攻擊,資安及情報機構發布以下最佳實踐指南,以加強企業網路安全:
  • 密切檢查網路設備(如交換器、路由器和防火牆)的任何組態變更或修改
  • 建置完善的網路流量監控方案和管理機制
  • 限制管理用網路流量對外暴露
  • 監控使用者及服務帳號的異常登入活動
  • 建立安全的集中式日誌系統,以分析和關聯來自多個來源的大量資料
     
  • 確保設備管理與客戶及生產網路實體隔離
  • 實施嚴格的預設拒絕存取控制清單(ACL)策略,以控管進出流量
  • 透過路由器存取控制清單、狀態檢測、防火牆功能和 DMZ 架構來分隔網路
  • 限制對外開放的 VPN 閘道器存取權限
  • 確保網路流量採用端點對端點加密機制,並在支援 TLS 的通訊協定上使用 TLS 1.3 版本,以保護資料在網路傳輸過程中的安全性
     
  • 停用不必要的網路探索協定,例如 CDP(Cisco 探索協定)或 LLDP(鏈路層探索協定),並關閉其他具風險的服務,包含 Telnet、FTP、TFTP、SSH v1、HTTP 伺服器和 SNMP v1/v2c
  • 停用 IP 來源路由功能(IP Source Routing)
  • 不使用預設密碼
  • 使用可信任的雜湊計算工具,驗證使用中的軟體映像檔之完整性
  • 掃描已知的對外基礎設施,確保網路上沒有可被存取的額外服務
     
  • 監控硬體設備、作業系統版本和軟體的 EOL 公告,並及時進行升級
  • 使用安全的雜湊演算法儲存密碼
  • 對所有存取公司系統的帳號要求具防釣魚功能的多因素驗證(MFA)
  • 限制工作階段權杖的有效期限,並在過期時要求使用者重新驗證身分
  • 採取以角色為基礎的存取控制(RBAC)機制,移除多餘帳號,並定期審查帳號的使用必要性
透過修補易受攻擊的設備和服務,並強化整體環境安全,可有效降低遭受入侵的風險,同時減少攻擊者的活動空間。

在此攻擊事件期間,中美貿易緊張關係持續升溫。中國已宣布禁止出口鎵、鍺和銻等關鍵礦產至美國,作為對美方半導體產業制裁的回應。美國商務部則宣布新的出口管制措施,更進一步限縮中國生產軍用先進製程晶片的能力。

相關文章:中國駭客組織利用 SIGTRAN、GSM 協定入侵南亞、非洲電信網路

本文轉載自 TheHackerNews。