中国国家级黑客利用网络边缘设备窃取敏感数据
与中国国家安全部(MSS)相关的网络威胁组织Salt Typhoon自2019年起持续针对全球电信基础设施,利用网络边缘设备建立深度持久性访问权限,窃取大量敏感数据。
Salt Typhoon专注于长期信号情报(SIGINT)收集,利用空壳公司和承包商生态系统来掩盖攻击来源,同时接受北京方面的直接监督。
该组织的攻击活动遍及多个地区——包括美国、英国、台湾和欧盟——已入侵至少十几家美国电信提供商、多个州国民警卫队网络以及盟国通信服务。
攻击技术手段
攻击采用定制恶意软件、无文件攻击技术(LOLBINs)以及在路由器、VPN网关和防火墙上植入隐蔽固件,用于截获VoIP配置、合法监听日志、用户元数据和通话详单。
近期起诉书和情报披露显示,Salt Typhoon与伪私营承包商公司协同运作,包括:
- i-SOON(安讯信息技术有限公司)
- 四川聚鑫合网络技术
- 北京寰宇天穹
- 四川智信瑞捷
这些实体提供域名注册渠道、租赁基础设施、技术支持和定制工具。2024年曝光的i-SOON GitHub仓库和空壳公司门面显示,MSS将其进攻性网络行动的关键环节外包,同时保持合理推诿性。
行动特征
Salt Typhoon的操作手法以其模块化、工业化的基础设施著称。该组织经常使用伪造的美国身份注册英文域名——通常使用ProtonMail账户和迈阿密或伊利诺伊州地址——并从GoDaddy和Sectigo获取商业域名验证SSL证书以增强合法性。
批量域名配置、共享DNS主机集群以及重复使用特定名称服务器和IP范围,形成了可检测的模式,帮助防御者随时间推移绘制该组织的活动轨迹。
重大入侵事件
美国电信元数据泄露(2024年)
AT&T、Verizon、T-Mobile、Lumen、Windstream等公司的用户元数据和合法监听日志通过被利用的路由器和防火墙漏洞外泄。该行动获得了全面的通话详单和基础设施地图,对反间谍和战略洞察至关重要。
国民警卫队网络入侵(2024年3月-12月)
通过VPN网关漏洞入侵州级警卫队网络。攻击者获取了网络拓扑图、凭据和事件响应预案,可能实现对美国国内动员能力的详细评估。
英国关键基础设施入侵(2023年-2024年)
未指明的英国政府和军事通信系统遭受深度持久性植入和元数据收集,凸显该组织对"五眼联盟"情报收集的关注。
欧盟路由器劫持(2022年-2023年)
荷兰、德国和法国的多个中小型ISP遭遇固件植入和后门更新,促进了被动监视和潜在的流量操纵。
相关人员与运营模式
归因工作已确定两名关键人员:殷可成,美国司法部起诉并受到OFAC制裁的四川聚鑫合操作员;周帅(又名"Coldface"),前i-SOON顾问,现被指控代理被盗数据和协调基础设施供应。
他们的角色凸显了Salt Typhoon的分层对手模型,将战略经纪、域名物流和技术植入部署分散在国有承包商之间。
Salt Typhoon的混合运营模式——MSS任务分配辅以空壳公司和商业承包商——反映了中国网络学说向私有化、可扩展间谍活动的更广泛转变。通过将合法商业研发与隐蔽进攻能力相结合,北京既实现了运营效率,又保持了推诿性。
防御建议
虽然重复使用伪造身份和共享基础设施使Salt Typhoon面临归因风险,但其复杂的植入和长期驻留继续对防御者构成重大挑战。
对于网络防御者,该组织可预测的域名命名模板、批量SSL证书采购和共享DNS集群提供了可行的检测支点。监控被动DNS、注册商遥测、SSL证书颁发和虚假身份重叠,可以在其成熟为活跃入侵之前揭示新兴的Salt Typhoon活动。
然而,缓解其在边缘设备上的长期持久性将要求电信运营商和关键基础设施提供商加强固件安全、实施严格的配置管理,并在VoIP和合法监听系统上部署强大的异常检测。
随着Salt Typhoon改进其操作手法和承包商关系,它凸显了在国际合作中跟踪、归因和破坏针对全球通信骨干网络的国家级网络间谍计划的迫切需要。