根据美国国土安全部的一份备忘录,中国国家赞助的黑客组织Salt Typhoon于2024年成功入侵了美国某州的国家警卫队网络,并在该网络中潜伏了九个月。
这一事件引起了当局的高度警惕,尤其是在黑客期间,他们能够窃取网络配置文件和管理员凭据,潜在地对其他政府网络构成威胁。
Salt Typhoon与中国国家安全部(MSS)有一定的关联,过去两年里,该黑客组织因对全球电信和宽带提供商的攻击而声名鹊起。
他们的目标之一是获取敏感的通话记录、私人通讯以及美国政府使用的执法窃听系统。
根据6月11日的备忘录,Salt Typhoon于2024年3月至12月之间成功攻陷了一州的国家警卫队网络,在此期间,他们收集了网络图、配置文件及管理员凭据以及服务成员的个人信息。
备忘录指出,收集到的数据可能被用于攻击其他州的国家警卫队和政府网络。
这份备忘录的内容显示:“在2024年3月至12月期间,Salt Typhoon广泛入侵了某州的国家警卫队网络,并收集了其网络配置和与其他州及至少四个美国领土的网络通信数据。”
分析师指出,“这些网络的管理员凭据和网络图可以被用于促进Salt Typhoon对这些单位的后续攻击。”
在这次入侵中,Salt Typhoon利用了以往在网络设备中挖掘出的配置文件,以突破关键基础设施和美国政府机构的防线。
“Salt Typhoon过去曾利用窃取的网络拓扑和配置文件,在其他地方实施网络攻击,”备忘录继续指出。
2024年初,Salt Typhoon已经窃取了与其他美国政府和关键基础设施实体相关的配置文件,包括至少两个州政府机构。至少有一个文件后来被用于攻陷其他美国政府机构内部的脆弱设备。
网络配置文件中包含了路由器、防火墙和VPN网关等网络设备的设置、安全配置和凭据。这些信息对于攻击者来说极为重要,因为它能够识别出其它通常无法通过互联网访问的敏感网络的通道和凭证。
国土安全部警告称,在2023至2024年期间,Salt Typhoon窃取了1462份与约70个美国政府和关键基础设施实体相关的网络配置文件,涉及12个行业。
目前尚不清楚Salt Typhoon是如何入侵国家警卫队网络的,但该组织以针对网络设备的旧漏洞而闻名,如Cisco路由器。
国土安全部在备忘录中列出了Salt Typhoon以往利用的漏洞:
– CVE-2018-0171:Cisco IOS和IOS XE智能安装中的关键缺陷,允许通过特别构造的TCP数据包进行远程代码执行。
– CVE-2023-20198:影响Cisco IOS XE网页用户界面的零日漏洞,允许未经身份验证的远程访问设备。
– CVE-2023-20273:同样针对IOS XE的权限提升缺陷,让黑客能够以根用户身份执行命令,该缺陷已被用来与CVE-2023-20198结合使用以保持持久性。
– CVE-2024-3400:Palo Alto Networks的PAN-OS GlobalProtect中的命令注入漏洞,允许未验证的攻击者在设备上执行命令。
此外,国土安全部还分享了一些Salt Typhoon在利用上述漏洞时所使用的IP地址:43.254.132[.]118、146.70.24[.]144、176.111.218[.]190、113.161.16[.]130、23.146.242[.]131和58.247.195[.]208。
在以往的攻击中,这些黑客曾通过利用未打补丁的Cisco路由器成功侵入电信环境,获取了美国政治运动和立法者的通信。
据悉,黑客在这些攻击中部署了名为JumblePath和GhostSpider的定制恶意软件,以监视电信网络。
国土安全部的备忘录还敦促国家警卫队和政府网络安全团队确保相关漏洞已经修补,并关闭不必要的服务,划分SMB流量,实施SMB签名,执行访问控制。
国家警卫局发言人确认了这一事件,但未提供具体细节,并表示此次事件并未干扰联邦或州的任务。
中国驻华盛顿大使馆对此次攻击未作否认,但表示美国并未提供“确凿和可靠的证据”证明Salt Typhoon与中国政府有关联。
图片源于:bleepingcomputer
