图片源于:https://securityaffairs.com/180018/intelligence/salt-typhoon-breach-chinese-apt-compromises-u-s-army-national-guard-network.html
与中国相关的APT盐台风(Salt Typhoon)入侵了美国一州的国家警卫队网络,访问了配置文件,并在与其他单位的通讯中进行监听。
一份国防部报告警告称,盐台风从2024年3月至12月侵入了一州的国家警卫队网络,窃取了网络配置、管理员凭据以及与全国各州和多个领土单位交换的数据。这些信息可能会帮助未来的黑客攻击,并在危机期间削弱美国国家级防御,严重威胁美国的关键基础设施。
“最近,中国人民共和国(PRC)相关的网络行为者入侵美国一州的国家警卫队网络——公开追踪为盐台风——很可能为北京提供了数据,可能进一步促进对其他州国家警卫队单位的黑客攻击,甚至可能涉及许多州级网络安全合作伙伴。如果实施黑客攻击的PRC相关网络行为者成功实施后续攻击,这可能对州级网络安全合作伙伴防御美国关键基础设施的能力产生严重影响,特别是在危机或冲突期间。”这段话摘自NBC新闻首发的报告。
报告包含盐台风使用的战术、技术和程序(TTPs)的细节,以及帮助国家警卫队和州政府检测、预防和减轻此威胁的指导。
“在2024年3月至12月期间,盐台风广泛侵入了一州的国家警卫队网络,窃取了其网络配置和与其他州及至少四个美国领土的对等网络之间的数据流量,”报告继续指出。”这些数据还包括这些网络的管理员凭据和网络图,可以用于促进后续的盐台风黑客攻击。”
政府报告警告称,盐台风对州国家警卫队网络的入侵对美国的网络防御构成了重大威胁。该组织窃取了管理员凭据、网络图和服务成员的个人信息(PII),可能影响多个州的网络安全工作人员。由于国家警卫队单位与14个州的融合中心集成,这种访问可能会暴露关键基础设施的防御,帮助指导未来中国针对州级网络人员和行动的网络攻击。
这支被追踪为盐台风的国家级威胁行为者,之前曾被指控黑客攻击美国的电信巨头AT&T和Verizon,以及Lumen Technologies和其他国内外服务提供商,以入侵监听系统。
上个月,加拿大网络安全中心和FBI警告说,该APT还对加拿大的电信提供商进行了攻击,窃取了通话记录和私人通讯。
自2023年以来,中国的盐台风组织利用各种CVE(公共漏洞和暴露)来掩盖其活动。他们已经从70多家美国政府和关键基础设施实体中窃取了1400多份配置文件,涵盖能源和水等12个领域的企业。这些文件包含凭据、网络图和管理员数据,使得更深层的入侵成为可能。
美国国防部(DOD)和网络安全与基础设施安全局(CISA)呼吁严格保护SMB和凭据,实施加密和最小特权访问,以保护未来的安全防护。
6月底,加拿大网络安全中心和FBI警告说,与中国有关的APT网络间谍组织盐台风正在对加拿大电信公司开展间谍攻击。
盐台风的黑客活动活跃了1至2年,已针对数十个国家的电信提供商。根据一位美国官员的说法,
在2025年2月,Recorded Future的Insikt集团报告称,与中国相关的APT组织盐台风仍在全球范围内针对电信提供商,而威胁行为者通过利用未修补的Cisco IOS XE网络设备侵入了更多的美国电信提供商。
Insikt集团的研究人员报告称,这些中国黑客利用了两个Cisco漏洞,分别为CVE-2023-20198和CVE-2023-20273。
加拿大网络中心报道指出,盐台风可能在2025年2月入侵了三台电信设备,利用CVE-2023-20198窃取配置文件,并设置GRE隧道进行数据收集。
“网络中心意识到目前针对加拿大电信公司的恶意网络活动,责任人几乎肯定是国家支持的,特别是盐台风,”加拿大网络安全中心发布的指南如是说。”在2025年2月中旬,涉及的三台注册于一家加拿大电信公司的网络设备被可能是盐台风的网络行为者入侵。这些行为者利用CVE-2023-20198获取了所有三台设备的运行配置文件,并修改至少一份文件以配置GRE隧道,从而实现了从网络上收集流量。”
网络中心发现,这个与中国有关的组织不仅在针对电信公司,同时也进行网络侦察,可能利用被攻陷的设备再攻击更多受害者。预计这种间谍活动将在未来两年内继续,重点关注电信公司及其客户。
政府专家认为,这个国家支持的行为者也针对其他行业的组织。
来自中国的国家支持黑客,尤其是针对电信提供商进行间谍活动。这些网络中包含有价值的数据,例如通话记录、位置信息和私人通讯。
2024年,
2024年12月初,拜登总统的副国家安全顾问安妮·纽伯格(Anne Neuberger)指出,与中国有关的APT团体盐台风已经入侵了数十个国家的电信公司。
《华尔街日报》报道称,这位高级白宫官员透露,至少八家美国电信公司在此次攻击中遭到入侵。
副国家安全顾问表示,中国在试图获取特定通讯的同时,访问了针对美国民众的大量元数据,特别是针对政府和政治人物的通讯。
与中国相关的APT盐台风还 reportedly 对卫星公司Viasat进行了攻击。
请在推特上关注我:@securityaffairs,以及Facebook和Mastodon。
皮尔路吉·帕佳尼尼
(安全事务 – 黑客, 美国陆军)