Salt Typhoon黑客组织入侵美国国民警卫队网络九个月，渗透全美各州网络

根据美国国土安全部（DHS）的一份备忘录，中国支持的APT组织Salt Typhoon在九个月内广泛入侵了美国某州的陆军国民警卫队网络，窃取了敏感军事数据，并获得了访问美国其他所有州及至少四个领土网络的权限。该备忘录警告称，此次入侵可能为全国关键基础设施的攻击提供便利。

DHS备忘录日期为6月11日，指出在2024年3月至12月期间，Salt Typhoon“广泛入侵了美国某州的陆军国民警卫队网络，并收集了其网络配置及与所有其他美国州和至少四个美国领土网络的数据流量”。该文件由国家安全透明度非营利组织Property of the People获取，并由NBC News首次报道。此前，Salt Typhoon已被关联到多个针对美国关键基础设施的广泛间谍活动，包括入侵AT&T、Verizon和Lumen Technologies等主要电信公司。

国民警卫队发言人表示：“国民警卫队意识到近期国防部和国土安全部关于中国附属黑客组织Salt Typhoon的报告，以及他们在2024年3月至12月期间针对陆军国民警卫队网络的行为。虽然我们无法提供攻击或应对的具体细节，但可以说此次攻击并未阻止国民警卫队完成指定的州或联邦任务，NGB继续调查入侵以确定其全部范围。我们对此事极为重视，已实施安全协议以减轻进一步风险并遏制任何潜在数据泄露，应对工作仍在进行中。我们正与DHS及其他联邦伙伴密切协调。”

针对关键基础设施的广泛活动

国民警卫队入侵是Salt Typhoon针对美国政府和关键基础设施实体的更广泛活动的一部分。备忘录称：“在2023年和2024年，Salt Typhoon还从能源、通信、交通、水和废水等12个部门的约70个美国政府和关键基础设施实体窃取了1,462个网络配置文件。”这些配置文件构成重大威胁，因为它们“可能 enable further computer network exploitation of other networks, including data capture, administrator account manipulation, and lateral movement between networks,”文件解释道。

由于国民警卫队的联邦-州双重角色及与地方政府系统的广泛连接，此次入侵对美国网络安全防御构成特殊风险。备忘录警告：“Salt Typhoon成功入侵全国各州陆军国民警卫队网络可能削弱地方保护关键基础设施的网络安全努力。”这一担忧因“在约14个州，陆军国民警卫队单位与负责共享威胁信息（包括网络威胁）的州融合中心集成”而加剧。备忘录指出，在至少一个州，“地方陆军国民警卫队单位直接提供网络防御服务”，使得此次入侵对关键基础设施保护尤为令人担忧。

敏感军事数据被盗

攻击者在九个月的入侵中获取了高度敏感的军事和基础设施信息。备忘录称：“2024年，Salt Typhoon利用其对美国某州陆军国民警卫队网络的访问权限，外泄了管理员凭证、网络流量图、全州地理位置地图以及服役人员的PII。”除直接数据盗窃外，备忘录警告Salt Typhoon对这些网络的访问“可能包括州网络防御态势信息以及州网络安全人员的个人可识别信息（PII）和工作地点数据——这些数据可用于 inform future cyber-targeting efforts.”入侵“可能为北京提供数据，以 facilitate the hacking of other states’ Army National Guard units, and possibly many of their state-level cybersecurity partners,”备忘录 noted.

既定的利用模式

Salt Typhoon展示了使用被盗网络数据 enable follow-on attacks的一贯方法。备忘录指出“Salt Typhoon previously used exfiltrated network configuration files to enable cyber intrusions elsewhere.”具体而言，“2024年1月至3月，Salt Typhoon外泄了与其他美国政府和关键基础设施实体相关的配置文件，包括至少两个美国州政府机构。至少其中一个文件 later informed their compromise of a vulnerable device on another US government agency’s network.”备忘录解释，访问配置文件“can provide a threat actor with sensitive information like credentials, network topology details, and security settings they need to gain and maintain access, as well as to exfiltrate data.”文件警告，如果Salt Typhoon成功入侵州级网络安全伙伴，可能“hamstring state-level cybersecurity partners’ ability to defend US critical infrastructure against PRC cyber campaigns in the event of a crisis or conflict.”考虑到州和联邦网络安全操作的互联性，此威胁尤为令人担忧，其中一个系统的入侵可能 cascade across multiple networks and jurisdictions.

技术方法和漏洞

备忘录提供了Salt Typhoon攻击方法的技术细节，指出自2023年以来，该组织“exploited a number of different common vulnerabilities and exposures (CVEs) using a range of leased internet protocol (IP) addresses to mask its activity.”文件包括该组织利用的特定CVE，如CVE-2018-0171、CVE-2023-20198、CVE-2023-20273和CVE-2024-3400，以及相关恶意IP地址。为防御此类攻击，备忘录建议“network defenders should follow best practices to harden their network devices against cyber exploitation and to maintain proper auditing and logging of network activity.”

备忘录发布之际，特朗普政府解散了曾调查Salt Typhoon对美国电信公司攻击的网络安全审查委员会，可能限制对该威胁的持续监督。文件警告，Salt Typhoon成功入侵国民警卫队网络可能对美国在与中国危机或冲突中防御关键基础设施的能力产生深远影响。