中国黑客组织Salt Typhoon攻击美国国家警卫队网络

图片源于:https://www.scworld.com/news/china-linked-salt-typhoon-infiltrated-state-national-guard-network

近日,美国国家安全局(NSA)和联邦调查局(FBI)的高级官员宣布与中国相关的黑客组织Volt Typhoon在其不断侵入美国国内网络方面“确实失败”,但与此同时,消息传出一支未具体指明的陆军国民警卫队单位已被中国黑客组织Salt Typhoon攻陷近一年。

“Salt Typhoon和Volt Typhoon的最新态势突显了与中华人民共和国相关的网络间谍活动和预部署行动的无情性,”数字政府中心高级研究员摩根·赖特(Morgan Wright)表示。“这些行动并不是孤立的,它们是为了在情报收集和潜在干扰方面获得战略优势的广泛策略的一部分。”

Token的董事长凯文·苏瑞斯(Kevin Surace)将Volt Typhoon的案例视为战术胜利,但并不是战略胜利。

“暂时干扰一个小组限制了其活动,但根本漏洞依然存在,”苏瑞斯说。“在组织解决根本问题——对凭证和过时身份验证方法的依赖之前,新小组将继续利用同样的技术获取访问权限。消灭一个单独的小组是有用的,但真正的胜利来自于使整个攻击向量过时。”

苏瑞斯解释称,这两个小组均与中国有关,并在战略目标上大致相似,但在战术和目标上略有不同。

Volt Typhoon主要关注美国关键基础设施的长期间谍活动,包括水务设施、公用事业和通信,采用隐秘的“活地利用”(LOTL)技术,并利用边缘网络设备保持隐藏,潜伏数月甚至数年。

而Salt Typhoon则在利用未打补丁的网络基础设施和被盗凭证方面表现得更加激进,使用钓鱼和伪造技术来规避多因素认证(MFA),以便获得深层持久访问权限。针对美国国家警卫队网络的攻击暗示了对军事准备和灾害响应作业的关注,这可能对国防和关键基础设施协调产生下游影响。

“这两个组织都被认为与中国国家利益有关,但Salt Typhoon的作战节奏则暗示着更直接的情报收集使命,”苏瑞斯补充道。

0rcus的联合创始人兼首席执行官尼克·亚当斯(Nic Adams)表示,北京的入侵计划作为一系列半独立承包商单位的组合运作。他说,驱逐一个单位会消耗资源并消耗工具,但共享基础设施的重叠团队仍不断进行渗透。

亚当斯指出,Salt Typhoon在Volt Typhoon被击退后仍继续活动,表明防御者面临的是一个分散的生态系统,而非单一的综合体。

“Salt Typhoon通过利用普遍的网络设备隐藏在显眼之中,利用租赁的云节点路由流量,这些流量看似合法的供应商更新,并重新使用被盗配置,而不是丢弃被终端工具标记的二进制文件,”亚当斯说。“国家警卫队网络是诱人的,因为它们连接了州应急系统和联邦指挥通道,提供了拓扑图和凭证,打开了进入下游关键基础设施环境的门。”

亚当斯补充称,禁用Volt Typhoon是一个战术胜利,消除了直接风险并迫使对手重建访问。然而,他指出,直到后续单位如Salt Typhoon被遏制,并且入侵经济变得对所有操作员均不可行,才能宣告战略胜利。

赖特警告称,现在不是自满的时候。他认为,Volt Typhoon将重新构建自己,并可能变得更强大,因为它从以前的错误中学习并改进其技术。同时,Salt Typhoon持续存在,依然难以发现,甚至更加难以消灭。

“对Salt Typhoon和Volt Typhoon的努力,归根结底感觉像是西西弗斯的劳动,”赖特说。“一旦似乎我们已经将防御他们的石头推上了数字的山丘,它又再度滚落下来。中华人民共和国是一个坚定的对手,拥有丰富的资源和私营部门的支持能力。”

美国国土安全部周三确认已向合作伙伴更新了对Salt Typhoon针对国民警卫队网络的情况,并将继续与合作伙伴合作,以防止未来的攻击和降低风险。