图片源于:https://www.cpomagazine.com/cyber-security/new-dhs-memo-reveals-chinese-state-sponsored-hackers-compromised-army-national-guard-for-much-of-2024/
据美国国土安全部(DHS)的一份内部备忘录报告,中国国家军队黑客组织“盐气旋”在2024年3月至12月期间成功攻陷了一州军队国民警卫队的网络,肆无忌惮地窃取了机密信息。
该国家支持的黑客利用这一地位,拦截了来自全国50个州及至少四个美国领土的国民警卫队网络的流量。
“盐气旋”是一个精英的中国支持的间谍组织,曾在多个重要目标上攻陷,包括所有主要的美国移动电话服务提供商、特朗普和哈里斯总统竞选活动,以及美国执法的窃听系统。
该组织自2020年以来一直活跃,特别集中于2024年美国的重要对抗情报目标。
在这份备忘录中,DHS称:“盐气旋”黑客组织已经“广泛”破解了一州国民警卫队的网络。
黑客们利用这一访问权限,窃取了非公开的地理位置地图和地形图,访问服务成员的个人信息,并拦截与其他州和领土警卫单位的通信。
根据安全研究人员的说法,“盐气旋”的主要目标似乎已经从简单的间谍活动,转向在国防和关键基础设施系统中创建持久的立足点。
这些安全研究人员认为,这些立足点是在为台湾的军事冲突做准备,可能会被激活以破坏通信网络,并袭击电力网和水供给系统,特别是在美国与中国发生冲突时。
尽管国民警卫队单位可能在这种情况下并不密切参与,但它们作为国家所利用的特定目标,因其与联邦国防部及各州网络的整合,以及参与地方“执法融合”中心,成为中国国家支持的黑客特别感兴趣的目标。
国家国民警卫队局对这一事件的报道做出了回应,表示无法提供该事件的具体细节,但声明国家支持的黑客并未干扰任何州或联邦任务,且全面调查仍在进行中。
中国国家支持的黑客通过私营企事业合作,实施大规模攻击
中国的“气旋”团队以未曾见过的规模和复杂性进行行动,这些大规模且持续的攻击活动部分得益于国家鼓励一系列私营公司不断扫描互联网中的可利用弱点,并开发新颖的零日漏洞,以得到政府的财务奖励。
在某些情况下,这些所谓的“支持公司”正在向多个中国政府实体以及其他安全机构出售访问权。
上周在意大利度假期间被捕的一名“丝绸气旋”黑客,就是在一家名为上海宝佑网络有限公司的前线安全公司中工作的“雇佣军”,专门从事这一类的工作。
“气旋”系列的国家支持黑客组织各自承担不同的责任和任务,然而在最近,“盐气旋”似乎主要致力于数字破坏的前景,如果爆发“热战”,就会实施相关的行动。
观察认为,针对台湾的这场战争几乎肯定会是中国发起的,这引起了公众对于其活动范围和大胆程度的严重警觉。
国家警卫队单位的攻击可能是未来攻击其他单位以及他们紧密合作的州和地方机构(如执法和网络安全合作伙伴)的前兆。
“盐气旋”在2024年底对美国移动运营商和互联网服务提供商的攻击是其在此之前最臭名昭著的单一行动,但该国家支持的黑客组织自2023年以来一直在广泛攻击各种国际目标,持续开展大规模的活动。
这有时也包括对律师事务所、酒店和工程公司的关注。
该组织频繁针对路由器中已知的漏洞,这进一步表明,他们可能有一支庞大的私人承包商团队,专门扫描这些未修补的缺陷以寻找初始入侵点。
一旦突破目标的防线,这些国家支持黑客的活动可能会长达三年之久,巧妙利用先进的伪装手段,混入正常的通信流量中。
Xcape董事会成员达蒙·史莫尔(Damon Small)指出,尽管中国最优秀的国家支持黑客经常这样行事,但它们也并非不容易被发现:“尽管‘盐气旋’被检测到,但也只是因为该组织已经渗透了9个月后才被发现。
关于国民警卫队对所有入侵残余是否已被消除缺乏具体的细节,这一问题意味着我们无法知道是否有其他对手团体已经深入并潜伏。
‘盐气旋’被检测到并不足为奇,因为他们往往会干扰服务。
更让人担忧的是,‘盐气旋’可能是‘尖刀’小组,导致了另一个团体(如‘闪电’)的进一步渗透,后者专门躲避监测,长时间潜伏。
对于那些进行间谍活动而不利用恶意软件的团体来说,检测他们可能是困难的。此类团体倾向于‘在土地上生活’,仅利用目标系统中已有的资源。
我们对读者的建议是,不要假设已知良好的配置不会遭到攻击,安全团队必须理解系统的已知良好行为。
例如,如果某个系统突然开始与中国通信,则必须引起调查。定期检查高价值系统已不再足够,而检查活动必须是持续的。”
KnowBe4的安全意识倡导者埃里希·克朗(Erich Kron)补充道: “这些犯罪团伙必须被认真对待,这意味着从政府高层领导到普通公民,需要对威胁有所了解、识别其迹象并报案。
无论是从个人身上窃取资金以资助其他活动,还是通过网络攻击来破坏基础设施,这些坏分子都显然是一个明确且迫在眉睫的威胁。”
自由防御的总裁和前白宫律师、中央情报局官员布莱恩·坎宁安(Bryan Cunningham)警告称,这些团体应该预期会针对任何可能为其提供关键基础设施、政府、通信或执法目标的潜在线索:“正如我在2024年诺曼底登陆日所写的, 美国及其民主盟友已经进入至少一场‘冷’第三全球冲突。
俄罗斯、中华人民共和国( PRC)和伊朗,都在持续渗透和测试我们的关键基础设施,俄罗斯在欧洲进行了实际的破坏行动。
‘盐气旋’和‘闪电’被广泛认为是中国政府指使的高级持续性威胁(APT)团体,其中‘闪电’被认为是两者中更隐蔽的威胁,长期深入关键基础设施,而‘盐气旋’则是更“喧闹”的团体,不太关心隐藏自己,而更关注数据盗窃和立即破坏性的效果。
在没有实际开战的情况下,这些威权国家及其黑客代理可能主要会围绕边缘进行测试,不做严重的破坏以保护他们的能力,但如果他们认为战争即将来临,他们可能会加速破坏性攻击。
首席信息安全官(CISO)需要保持“屏障已准备好”状态,谨慎监控其资产,确保自身安全基础设施的更新,以及员工基本网络安全培训,因为相当大比例的网络攻击是由于人为错误而导致的。