Volt Typhoon持續潛伏美國關鍵基礎設施，部分入侵恐永遠無法被發現

過去近三年來，美國軍方與執法單位持續追查並清除入侵水電公司的駭客組織。然而，最新報告指出，許多針對美國關鍵基礎設施的攻擊可能永遠無法被發現。

工業控制系統資安業者 Dragos 協助多家關鍵基礎設施組織調查 Volt Typhoon 入侵事件。該公司發布的年度報告指出，這個與中國有關的駭客組織在 2025 年持續攻擊美國公用事業單位，儘管受到更多關注，仍保持活躍。

Dragos 執行長 Rob Lee 向媒體表示，Volt Typhoon「仍然非常活躍，持續在美國及盟國的基礎設施中探測並建立據點」。當被問及是否能完全從所有遭攻擊的美國公用事業單位中移除 Volt Typhoon 時，Lee 坦言，美國和北約國家有些遭入侵的據點可能「永遠無法被發現」。

戰略性預先部署攻擊能力

根據美國當局說法，該組織的目標是在營運技術(Operational Technology, OT)網路中預先部署駭客，以便在必要時發動破壞性網路攻擊，延緩美軍動員。該組織鎖定具戰略重要性的目標，並維持長期存取權限。

Lee 指出，美國政府未來三到五年將發布的法規能協助企業發現 Volt Typhoon 的入侵。目前幾家大型電力公司確實具備發現並清除 Volt Typhoon 的能力。

然而，其他遭受攻擊的關鍵公用事業單位，特別是水務部門，很可能永遠無法達到足以發現並移除 Volt Typhoon 入侵的技術水準。專家評估，目前部分基礎設施已遭入侵，且在當前情況下將持續處於被入侵狀態。

中國否認參與 Volt Typhoon 的入侵行動。然而，在關島的美國關鍵基礎設施及其他美軍基地附近發現了 Volt Typhoon 駭客的蹤跡，目的是延緩美軍動員。Volt Typhoon 受害者的總數不明，美國官員坦承任何給出的數字可能都被低估。

SYLVANITE 負責初期滲透

Dragos 研究人員也發現另一個駭客組織 SYLVANITE ，他們先取得公用事業單位的初始存取權限，再將控制權移交給 Volt Typhoon 進行後續行動。該組織鎖定北美、歐洲、南韓、關島、菲律賓和沙烏地阿拉伯的營運技術系統，成功滲透石油天然氣、水務、發電、輸電及製造業等產業組織。

專家指出，該組織不是負責造成影響或試圖取得長期存取權限的團隊，而是為 Volt Typhoon 工作、負責開發存取管道、突破防線，再移交給 Volt Typhoon 的團隊。

利用軟體漏洞擴大攻擊面

Dragos 專家將數起近期備受矚目的漏洞利用攻擊歸因於 Volt Typhoon 和 SYLVANITE，包括廣泛使用的 Ivanti 工具，以及 Trimble Cityworks 地理資訊系統(GIS)資產管理軟體的漏洞。聯邦網路防禦機構在一年前下令所有機構立即修補 Trimble Cityworks 漏洞。資安業者後來證實，中國駭客利用該漏洞入侵多個地方政府。

Dragos 指出，這些入侵使 Volt Typhoon 駭客取得的資料能讓攻擊者規劃精準且具破壞性的電力和水務公用事業攻擊。美國的公用事業單位和地方政府通常仰賴 GIS 資料進行基礎設施營運，但攻擊者可將這些資訊武器化，用於未來的工業控制系統(ICS)入侵。

而 2025 年全年，Volt Typhoon 的行動顯示出明顯轉變：不僅從 IT 網路收集並外洩資料，更直接與 OT 網路連接的裝置互動，竊取感測器和營運資料。

本文轉載自 TheRecord。