中国黑客组织Salt Typhoon入侵美国国民警卫队网络长达9个月,波及全美各州

中国支持的APT组织Salt Typhoon在9个月内入侵美国国民警卫队网络,窃取敏感军事数据并访问全美各州网络,利用多个CVE漏洞进行攻击,威胁国家关键基础设施安全。

Salt Typhoon入侵美国国民警卫队网络9个月,访问全美各州网络

根据美国国土安全部(DHS)的一份备忘录,中国支持的APT组织Salt Typhoon在9个月内广泛入侵了美国某州的陆军国民警卫队网络,窃取敏感军事数据,并访问了全美其他各州及至少四个地区的网络。该备忘录警告称,此次入侵可能为全国关键基础设施的攻击提供便利。

DHS备忘录日期为6月11日,指出在2024年3月至12月期间,Salt Typhoon“广泛入侵了美国某州的陆军国民警卫队网络,并收集了其网络配置及与全美其他各州和至少四个美国地区对应网络的数据流量”。该文件由国家安全透明度非营利组织Property of the People获取,并由NBC新闻首次报道。此前,Salt Typhoon已被 linked to 多个针对美国关键基础设施的广泛间谍活动,包括入侵AT&T、Verizon和Lumen Technologies等主要电信公司。

国民警卫队发言人表示:“国民警卫队意识到国防部和国土安全部近期关于中国附属黑客组织Salt Typhoon在2024年3月至12月期间 targeting 陆军国民警卫队网络的报告。虽然我们无法提供攻击或应对措施的具体细节,但可以说此次攻击并未阻止国民警卫队完成州或联邦任务,NGB继续调查入侵以确定其全面范围。我们非常重视此事,已实施安全协议以减轻进一步风险并 containment 任何潜在数据泄露,应对工作正在进行中。我们正与DHS及其他联邦合作伙伴密切协调。”

针对关键基础设施的更广泛活动的一部分

国民警卫队入侵是Salt Typhoon针对美国政府和关键基础设施实体的更广泛活动的一部分。备忘录称:“在2023年和2024年,Salt Typhoon还从能源、通信、交通、水和废水等12个部门的约70个美国政府和关键基础设施实体窃取了1,462个网络配置文件。”这些配置文件构成重大威胁,因为它们“可能 enable 对其他网络的进一步计算机网络利用,包括数据捕获、管理员账户操纵和网络间横向移动”。

由于国民警卫队的联邦-州双重角色以及与地方政府系统的广泛连接,此次入侵对美国网络安全防御构成 particular risks。备忘录警告:“Salt Typhoon成功入侵全国各州陆军国民警卫队网络可能 undermine 地方保护关键基础设施的网络安全努力。”这一担忧因“在约14个州,陆军国民警卫队单位与负责共享威胁信息(包括网络威胁)的州融合中心集成”而加剧。在至少一个州,“当地陆军国民警卫队单位直接提供网络防御服务”,使得入侵对关键基础设施保护 particularly concerning。

窃取的敏感军事数据

攻击者在9个月的入侵中获得了高度敏感的军事和基础设施信息。备忘录 stated:“在2024年,Salt Typhoon利用其对美国某州陆军国民警卫队网络的访问权限 exfiltrate 管理员凭据、网络流量图、全州地理位置地图以及服役人员的PII。”除了直接数据盗窃,备忘录警告Salt Typhoon对这些网络的访问“可能包括州网络防御态势信息以及州网络安全人员的 personally identifiable information (PII) 和工作地点数据——这些数据可用于 inform 未来的网络 targeting 努力”。

妥协“可能为北京提供数据,以 facilitate 黑客攻击其他州的陆军国民警卫队单位,以及可能许多州级网络安全合作伙伴”,备忘录 noted。

既定的利用模式

Salt Typhoon展示了使用窃取网络数据 enable 后续攻击的一致方法。备忘录 noted:“Salt Typhoon此前曾使用 exfiltrated 网络配置文件 enable 其他地方的网络入侵。”具体而言,“在2024年1月至3月期间,Salt Typhoon exfiltrated 与其他美国政府和关键基础设施实体相关的配置文件,包括至少两个美国州政府机构。至少其中一个文件后来 informed 他们对另一个美国政府机构网络上易受攻击设备的 compromise。”

备忘录解释说,对配置文件的访问“可以为威胁参与者提供敏感信息,如凭据、网络拓扑细节和安全设置,他们需要这些信息来 gain and maintain 访问权限,以及 exfiltrate 数据。”文件警告,如果Salt Typhoon成功 compromise 州级网络安全合作伙伴,可能“ hamstring 州级网络安全合作伙伴在危机或冲突中 defend 美国关键基础设施 against 中国网络活动的能力”。

鉴于州和联邦网络安全操作的互联性,这一威胁 particularly concerning,其中一个系统的入侵可能 potentially cascade 跨多个网络和管辖区域。

技术方法和漏洞

备忘录提供了Salt Typhoon攻击方法的技术细节, noting 自2023年以来,该组织“利用多个不同的常见漏洞和暴露(CVE),使用一系列租赁互联网协议(IP)地址掩盖其活动。”文件包括该组织利用的特定CVE,如CVE-2018-0171、CVE-2023-20198、CVE-2023-20273和CVE-2024-3400,以及相关恶意IP地址。

对于防御此类攻击,备忘录建议“网络防御者应遵循最佳实践以 harden 其网络设备 against 网络利用,并 maintain 适当的网络活动审计和日志记录。”备忘录发布之际,特朗普政府解散了正在调查Salt Typhoon对美国电信公司攻击的网络安全审查委员会,可能限制对该威胁的持续监督。文件警告,Salt Typhoon成功入侵国民警卫队网络可能对美国在与中国危机或冲突中 defend 关键基础设施的能力产生深远后果。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次