★ 中國駭客繼續折磨美國電信公司

（請點擊 ↑ 連結詳細介紹）

這些持續的「Salt Typhoon」襲擊威脅著國家的關鍵基礎設施和國家安全。

近幾個月來，中國國家支援的駭客，特別是一個被稱為 Salt Typhoon 的團體，參與了針對美國電信公司的漏洞。據信，該組織開展了目的在竊取敏感通訊、執法資料和政治人物資訊的網路行動。由於對國家安全和關鍵基礎設施的潛在影響，美國政府和網路安全機構對這些活動表示擔憂。

據路透社報導，聯邦調查局、國家情報局局長艾薇兒·海恩斯、聯邦通訊委員會主席傑西卡·羅森沃爾塞爾、國家安全委員會和網路安全和基礎設施安全域性舉行了閉門簡報會。

在 12 月 11 日，美國參議院商業小組委員會將召開聽證會，以解決 Salt Typhoon 和其他安全威脅，對美國通訊網路構成的風險。會議將包括競爭性航空公司協會執行長 Tim Donovan 的證詞。立法者目的在探索，中國對美國電信系統的網路攻擊程度，評估漏洞，並確定提高網路安全的最佳做法。

這次聽證會是在人們，對中國入侵關鍵電信基礎設施的廣度和影響日益關注的情況下舉行的。這些漏洞引發了關於政府機構和私人企業，何時能夠恢復公眾對美國通訊網路安全和完整性的信心的重大問題。路透社補充說，預計討論將側重於改善合作和加強對未來威脅的防禦。

影響是什麼

Morphisec 首席行銷官 Brad LaPorte 解釋說，與中華人民共和國有聯絡的國家贊助的駭客組織 Salt Typhoon，對美國電信和關鍵基礎設施構成了重大威脅。

他說：「Salt Typhoon 以利用後門和供應鏈漏洞，以及採用 '靠土地為生' 等先進策略而聞名，它參與了美國曆史上最嚴重的電信駭客攻擊，損害了國家安全和經濟穩定。」

LaPorte 補充說，共同戰術、技術和程式（TTP）鹽颱風的操作具有幾個關鍵的 TTP：

利用後門：Salt Typhoon 利用電信系統中的故意後門，這些後門目的在合法竊聽，以獲得對敏感資料的未經授權的連網。
靠土地生活：這種策略涉及使用目標環境中的現有工具和流程，執行攻擊，將檢測風險降至最低。
資料洩露：據報道，該組織收集了大量資料，包括通話記錄、未加密的簡訊和音訊通訊，特別是來自參與國家安全和政治運動的知名人士。
供應鏈攻擊：透過針對電信提供商，Salt Typhoon 證明了供應鏈漏洞被利用的潛力，不僅影響直接目標，還影響下游使用者和服務。

「隨著中國繼續參與破壞美國利益的網路行動，兩國之間的信任已經嚴重削弱。為獲得策略和經濟優勢，而持續對關鍵資產和基礎設施的干涉，促使對各部門網路安全策略的重新評估。這種情況是呼籲各組織採取更強有力的防禦措施，」LaPorte 警告說。

總部位於加利福尼亞州舊金山的眾包網路安全領導者 Bugcrowd 的首席資訊保全官 Trey Ford 表示，看到這樣的通知是不幸的。大部分指南已經存在了很長時間了。他強調，他將在 CISAs 對關鍵基礎設施供應商的指導中，優先考慮抗網路釣魚的 FIDO MFA，特別是像電信公司這樣的以技術為中心的公司。

「我們能做的一切為惡意行為者，和國家社群提高成本，和工作因素都有幫助。值得慶幸的是，加密通訊無處不在，今天公眾可以使用。我們建議儘可能為任何穿越第三方通訊基礎設施的內容新增加密。iMessage、RCS（可以）、WhatsApp、Signa l- 請使用它們，」Ford 說。「此外，我建議為你的所有線上帳號，新增第二個身份驗證方式，比 SMS 更強，如 Yubikeys、蘋果的安全元素，或偽隨機程式碼生成器，如 Google Authenticator、Authy、Duo 等......並使用支援它們的平台。」

關鍵發現和方法

鹽颱風的行動特點是複雜的戰術，目的在持續接觸其目標。他們利用面向公眾的系統中的漏洞，包括路由器和防火牆，並利用洩露的憑證來升級特權，並在網路內橫向移動。他們的重點通常是保持長期訪問，而不是立即中斷，使他們能夠收集情報，或為未來的行動定位自己。該策略與其他中國網路間諜組織保持一致，如伏特颱風，這些組織也針對美國關鍵基礎設施。

CISA 的建議

網路安全和基礎設施安全域性（CISA）釋出了緩解這些威脅的指南。建議包括：

加強連線控制：實施多重身份驗證，並儘量減少特權帳戶訪問。
異常活動的監控：加強對橫向移動和可疑登入行為的檢測。
更新補丁管理：及時解決網路裝置和關鍵軟體中的已知漏洞。
協作和報告：鼓勵組織分享威脅情報並向聯邦當局報告事件，以改善集體防禦

「CISA 已經報導了大約兩個月的這項活動。Bambenek Consulting 總裁 John Bambenek 責罵說：「我希望這樣的指導能早點釋出，但老實說，這比背誦無論如何都應該做的最佳實踐要好一些。」

總部位於德克薩斯州普萊諾的託管檢測，和反應處理（MDR）網路安全解決方案供應商，Critical Start 的網路威脅研究高階經理 Callie Guenther 指出，Salt Typhoon 針對美國電信提供商的活動，揭示了對長期間諜活動的策略重點，針對元資料、關係網路和憑證等敏感資料，以支援更廣泛的情報和營運目標。這些行動利用了電信部門的系統性漏洞，包括過時的基礎設施和供應鏈弱點，凸顯了該部門對高階國家支援的威脅的脆弱性

「CISA、NSA 和 FBI 最近的指導強調了零信任原則、強大的加密、及時的軟體更新和增強的供應鏈安全是關鍵防禦。使用加密訊息應用程式的顯著建議，反映了對傳統電信系統抵禦複雜對手的安全性的信心下降，」Guenther 補充道。

他繼續說，與其他關鍵行業相比，美國電信基礎設施的狀況凸顯了營運效率低下，強調成本而不是安全，以及重大監管差距。

「這造成了像 Salt Typhoon 這樣的對手，可以利用的持續漏洞。為了減輕這些風險，公私合作非常重要，同時推動全行業現代化和遵守安全基線。Salt Typhoon 對資料驅動、隱身間諜的關注，凸顯了對關鍵基礎設施攻擊的策略性質，並強調了採取主動和全面的安全措施，來應對不斷變化的威脅的必要性，」Guenther 說。

更廣泛的含義

鹽颱風的漏洞凸顯了美國電信基礎設施的系統性脆弱性，這對民用和軍事行動都非常重要。正在進行的調查引發了國會的審查，並呼籲加強對電信提供商內部的網路安全實踐的監督。一些決策者還主張，加強私人企業和聯邦機構之間的協調，以加強對國家支援的網路威脅的防禦。

這些事態發展凸顯了積極主動的網路安全措施的重要性，以及建立強有力的公私夥伴關係的必要性，以保護關鍵基礎設施，免受鹽颱風等高階持續威脅。

KnowBe4 的安全意識倡導者 Erich Kron 警告說，「國家認可的實體已經進入美國的通訊供應商，這是一個令人震驚的想法，有望有助於說明為什麼網路安全，需要成為這些類型組織的優先事項。」

「通訊是政府和企業的關鍵部分，竊取資料甚至收集元資料的能力，例如一個人給誰打電話，他們什麼時候給他們打電話，他們撥打電話的頻率，或攔截網際網路流量的能力，可能會對國家安全、執法部門，和大型組織構成重大威脅。通訊中斷的威脅也是一種重大威脅，特別是在現代，從商業實踐到軍事行動，快速通訊對一切非常重要。」

Kron 得出結論，電信提供商和 ISP 需要對奇怪行為保持警惕，並應密切關注日誌，特別是訪問日誌和關鍵基礎設施裝置的網路流量。

「由於許多網路的規模，和透過這些網路移動的大量資料，發現和驅逐這些不良行為者將是一個挑戰，可能需要幾個月才能完成。」