美國聯邦通訊委員會(Federal Communications Commission,FCC)於2026年3月底正式更新「涵蓋清單」(Covered List),將所有在美國境外生產的消費性路由器(consumer-grade router)全面納入管制範圍。此舉打破過去清單僅針對特定廠商的慣例,成為美國通訊設備安全管制史上覆蓋範圍最廣的一次政策行動。FCC在官方聲明中直接點名,境外製造消費性路由器曾在Volt Typhoon、Flax Typhoon與Salt Typhoon三大網路攻擊行動中扮演關鍵跳板角色。
三大Typhoon行動:路由器如何成為入侵跳板
三個均被認定與中國政府具有指揮關係的進階持續性威脅(APT)組織,在近年對美攻擊行動中反覆利用境外消費性路由器作為滲透跳板。
Volt Typhoon 慣用「就地取材」(LotL)戰術,透過入侵家用與小型辦公室(Small Office/Home Office,SOHO)路由器中繼攻擊流量,目標橫跨通訊、能源、交通等關鍵基礎設施領域,美國CISA評估其意圖預置於關鍵網路,以便在美中衝突時執行破壞性攻擊。Flax Typhoon 手法相近,除鎖定美國目標外亦將台灣列為重點對象,其殭屍網路(botnet)於2024年9月遭美國政府摧毀。Salt Typhoon 則以電信業者為主要目標,被評估在遭披露前已潛伏長達兩年,受波及國家遍及逾80個國家。
三組織的共同特徵在於:優先入侵已超出支援生命週期、無法獲得安全更新的消費性路由器,並以此作為隱匿攻擊來源、建立持久立足點的核心手段。
FCC的政策邏輯:從威脅情資到設備管制
FCC在說明政策依據時明確指出,境外製造消費性路由器曾被惡意行為者利用安全漏洞,對美國家庭發動攻擊、癱瘓網路、從事間諜活動,並協助竊取智慧財產(intellectual property)。此次納管決定的法源為2019年《安全與可信通訊網路法》(Secure and Trusted Communications Networks Act),並依據2026年3月20日由行政機關跨部會機制發布的「國安認定」(National Security Determination)正式執行。
跨機關評估認定,
境外生產消費性路由器對美國構成兩項不可接受的風險:其一為引入供應鏈漏洞,可能破壞美國經濟、關鍵基礎設施與國防;其二為建立嚴重的網路安全風險,可能被立即大規模利用以癱瘓關鍵基礎設施並直接危害美國民眾。
值得注意的是,此次管制範圍的界定方式出現根本性轉變。過去「涵蓋清單」採取「特定廠商、特定產品」的認定邏輯,此次則改採「製造地」為判斷標準,只要在美國境外生產的消費性路由器,無論品牌或國籍,均在管制之列。這一轉變意味著美國政府對路由器供應鏈風險的評估,已從個案審查升級為結構性管制。
替代認證路徑與豁免機制
新規並非全面封鎖市場准入。境外消費性路由器業者可透過替代審查流程申請於美上市,但須履行更高程度的透明度義務,包括完整揭露企業與股權結構、供應鏈與製造細節、軟體與韌體(firmware)來源,以及關鍵元件製造回流美國的具體規劃。此外,部分用於無人機系統的特定路由器已獲「有條件核准」(conditional approval),可滿足特定政府需求且經評估不構成安全風險。
對資安從業者的實務建議
面對三大Typhoon行動所揭示的攻擊模式,企業資安團隊應將路由器等邊界設備的安全管理列為優先工作:
- 優先確認網路邊界所有路由器的韌體版本,並立即套用原廠安全更新;
- 已超出支援生命週期的設備應制定替換時程。
- 停用不必要的遠端管理介面,避免將管理介面暴露於公開網路。
- 啟用多因素驗證以降低憑證遭竊後的橫向移動風險。
- 企業環境應系統性盤點邊界設備的供應鏈資訊,建立替換優先順序與備援計畫,
- 強化網路流量日誌記錄能力,以利偵測LotL技術所產生的異常行為。
本文轉載自 BleepingComputer。