國際網路安全機構日前發布聯合警告,指出中國駭客組織正在進行大規模全球網路攻擊活動,目標鎖定政府、電信、交通運輸等關鍵基礎設施。
多國聯合發布警告
英國國家網路安全中心(NCSC)聯合美國、澳洲、加拿大等13個國家的資安機構,公開指控三家中國科技公司涉及長期全球網攻活動。
這些公司包括四川聚信合網路技術有限公司、北京寰宇天穹信息技術有限公司,以及四川智信銳捷網路技術有限公司。
美國網路安全暨基礎設施安全局(CISA)、聯邦調查局(FBI)和國家安全局(NSA)共同參與了這項國際安全警告,將此次攻擊活動稱為中國的「全球間諜系統」。
英國國家網路安全中心執行長Richard Horne博士指出這是一場「全球規模不受約束的惡意網路活動攻勢」。這項攻擊活動部分與知名駭客組織「鹽颱風(Salt Typhoon)」重疊,其他相關的攻擊組織還包括RedMike、UNC5807、GhostEmperor和OPERATOR PANDA等。
美國國家安全局的新聞稿指出一項重要發現,攻擊者的成功並非依靠新穎或複雜的駭客工具,而是利用了組織本應透過安全更新修補的舊有已知漏洞。
攻擊手法與目標
這波攻擊活動最早可追溯至2021年,駭客組織主要利用已知的系統漏洞進行攻擊,而非開發全新的攻擊工具。攻擊者成功利用了多個廠商設備的安全漏洞,包括
Ivanti的CVE-2024-21887、
Palo Alto Networks的CVE-2024-3400,以及
Cisco的CVE-2023-20273、CVE-2023-20198和CVE-2018-0171等漏洞。
駭客組織主要鎖定大型骨幹路由器、供應商和用戶端路由器,並經常修改路由器設定來維持長期網路存取權限。他們透過修改存取控制清單、開啟標準和非標準連接埠、啟用SSH伺服器等方式來保持持續性存取。
相關文章:中國駭客組織「鹽颱風」近期大規模攻擊思科設備,全球電信商成主要目標
荷蘭確認遭受攻擊
荷蘭軍事情報安全局(MIVD)和一般情報安全局(AIVD)在8月28日發布聯合聲明,證實中國駭客組織Salt Typhoon曾攻擊荷蘭境內組織。
荷蘭情報機構表示,他們獨立確認了美國相關調查的部分發現。雖然荷蘭組織受到的攻擊程度可能不如美國嚴重,但調查發現Salt Typhoon確實取得了荷蘭小型網路服務供應商(ISP)和託管服務商的路由器存取權限。
所幸調查結果顯示,駭客並未進一步滲透到這些公司的內部網路系統。
專家分析與建議
Google威脅情報小組首席分析師John Hultquist指出,這個駭客組織因為對電信系統的深度專業知識而具有「獨特優勢」,能夠有效規避偵測。中國網路間諜活動是由承包商、學者和其他協助者組成的生態系統所支撐,使其作業規模達到前所未有的程度。
資安專家建議組織應該主動監控網路中的惡意活動,確保面向網際網路的設備得到適當保護,並及時套用所有可用的安全更新。在嘗試清除攻擊者之前,組織需要全面了解攻擊者在網路中的存在範圍,以確保能夠完全「驅逐」駭客。
荷蘭國防部網站上的聲明指出,中國網路作業已經變得如此先進,需要持續保持警覺和採取主動措施來偵測和減輕對荷蘭利益的威脅。雖然風險可以降低,但無法完全消除,這對荷蘭的網路韌性構成重大挑戰。
各國資安機構呼籲組織應立即採取行動,監控網路設備配置變更、稽核網路服務和隧道、檢查日誌,並監控韌體和軟體的完整性。面對這種持續性、長期性的網路威脅,網路防護者必須保持高度警覺,持續檢視系統是否有異常活動的跡象。
延伸閱讀:中國駭客集團大舉攻擊台灣半導體產業 四個未知APT組織展開多重攻勢