中国背景Salt Typhoon黑客组织渗透美国国民警卫队近一年

根据NBC新闻获得的美国国土安全部文件，被认为与中国政府有关联的高级持续性威胁组织Salt Typhoon成功入侵了美国国民警卫队系统。该组织是一个知名的网络间谍团体，曾针对多个重要目标，特别是在电信领域。

攻击时间线与影响

内部文件显示，Salt Typhoon在去年3月至12月期间入侵了国民警卫队网络并潜伏其中。这次入侵"可能为北京提供了有助于入侵其他州陆军国民警卫队单位的数据，可能还包括许多州级网络安全合作伙伴"。

文件警告称：“如果与中国相关的网络行为者成功实现后者，可能会在危机或冲突期间削弱州级网络安全合作伙伴防御中国网络行动的能力。”

技术细节与数据窃取

KnowBe4安全意识倡导者Erich Kron指出，入侵持续近一年这一事实尤其令人担忧：“最令人不安的不是入侵的规模和范围，而是他们能够访问一些非常敏感信息的时间长度。不仅如此，他们可能还了解了很多关于我们如何在国民警卫队和国防部侧设置网络的信息。”

攻击涉及窃取网络配置和数据流量，包括"所有其他美国州和至少四个美国领土对应网络"，还包括网络图和管理员凭证。

攻击范围扩展

攻击范围可能超出定制网络，延伸到州网络防御态势和属于州网络安全人员的个人信息。文件指出：“Salt Typhoon成功入侵全国各州陆军国民警卫队网络可能会破坏保护关键基础设施的地方网络安全工作。”

防御建议与缓解措施

DHS文件列出了国防部最佳实践的两个主要类别：

• 保护服务器消息块流量：包括实践网络分段、确保SMB流量不暴露在互联网上、使用SMBv3以及在不需要时禁用SMB
• 防止凭证收集和文件外泄：建议包括实施强大的密码复杂性、使用强加密算法、实施基于角色的访问控制、实施最小权限原则以及利用密码轮换流程

专家观点

SOCRadar首席信息安全官Ensar Seker表示：“像Salt Typhoon这样的精英APT组织在美国国民警卫队网络中保持近一年未被发现的访问权限，对他们来说是重大的行动成功，也是防御可见性的严重失误。他们可能访问了敏感的军事或执法数据，这超出了常规间谍活动范畴，涉及国家安全。”