資安研究機構 Recorded Future 的 Insikt Group 最新報告指出,中國國家級駭客組織「鹽颱風」(Salt Typhoon,又稱 RedMike)近期針對全球電信基礎設施發動大規模攻擊,利用思科(Cisco)設備的已知漏洞,成功入侵六大洲的重要目標。
攻擊規模與目標
根據研究報告,鹽颱風組織在過去兩個月內攻擊了超過一千台思科網路設備,這些設備主要位於電信公司、網路服務供應商(ISP)和大學的基礎設施中。受害機構包括英國電信在美國的分支機構、一家美國電信與網路服務供應商、一家義大利網路服務供應商、南非電信公司、泰國電信公司,以及緬甸主要電信商 Mytel。
在學術界方面,攻擊目標包括加州大學洛杉磯分校(UCLA)在內的四所美國大學,以及來自阿根廷、印尼、荷蘭等國的多所大學。這些學府大多從事電信、工程等技術領域的重要研究。
攻擊手法
攻擊者主要利用兩個思科 IOS XE 作業系統的嚴重漏洞:CVE-2023-20198 和 CVE-2023-20273。第一個漏洞允許攻擊者在未經授權的情況下,透過使用者介面創建具有管理權限的新本地帳戶,在 CVSS 評分系統中獲得最高的 10 分。第二個漏洞則更進一步,允許攻擊者以 root 權限在被入侵的設備上執行惡意指令。
成功入侵後,攻擊者會設定
通用路由封裝(GRE)通道,將被入侵的設備與其控制基礎設施連接。這種合法功能的濫用使攻擊者能夠建立持久性存在,並在降低被防火牆或網路監控軟體發現風險的情況下竊取資料。
鹽颱風組織於 2024 年 9 月首次引起廣泛關注,當時有報導指出該組織入侵了包括 T-Mobile、AT&T 和 Verizon 在內的美國主要電信供應商。更嚴重的是,攻擊者不僅竊聽了執法部門的通訊監控,還監控了民主黨和共和黨總統競選活動的通訊。
相關文章:中國駭客組織「鹽颱風」利用新型 GhostSpider 後門程式攻擊電信業者
Silent Push 資深威脅研究員 Zach Edwards 解釋,電信系統是最複雜的基礎設施之一,某些系統可能使用數十年前的技術,且在許多情況下無法輕易更換,這使得即使是舊的漏洞也可能被利用來進行複雜的攻擊。
思科回應與防護建議
思科發言人表示思科已知悉相關報告,但目前尚未能驗證這些聲稱。他們強調在 2023 年已發布安全公告,披露這些漏洞並提供修補指南。思科強烈建議用戶:
- 立即修補已披露的已知漏洞
- 遵循業界最佳實踐來保護管理協定
- 若設備運行 IOS XE 作業系統,應考慮暫時將設備從網路中移除
Recorded Future 的戰略情報資深主管 Jon Condra 指出,
儘管先前的報導主要聚焦於美國目標,但該組織的攻擊範圍實際上是全球性的。這反映了中國情報部門的戰略需求,包括透過間諜活動獲取敏感網路存取權限,以及在地緣政治緊張或實體衝突升級時具備破壞或操縱資料流的能力。
Insikt Group 預計,即使面臨媒體關注和美國制裁,鹽颱風組織仍將持續針對全球電信供應商進行攻擊,主要是因為這些網路中傳輸的通訊資料具有極高的價值。
延伸閱讀:聯合情資示警:中國政府支持的網路間諜行動鎖定各國電信網路