Salt Typhoon黑客组织入侵美国国民警卫队网络9个月,访问所有州网络
根据美国国土安全部(DHS)的一份备忘录,中国支持的APT组织Salt Typhoon广泛入侵了美国某州的陆军国民警卫队网络长达九个月,窃取了敏感的军事数据,并获得了访问美国所有其他州和至少四个领土网络的权限。该备忘录警告称,此次入侵可能促进对全国关键基础设施的攻击。
DHS备忘录日期为6月11日,指出在2024年3月至12月期间,Salt Typhoon“广泛入侵了美国某州的陆军国民警卫队网络,并收集了其网络配置及其与所有其他美国州和至少四个美国领土网络的数据流量。”该文件由国家安全透明度非营利组织Property of the People获得,并由NBC News首次报道。此前,Salt Typhoon已与针对美国关键基础设施的多次广泛间谍活动有关,包括入侵主要电信公司如AT&T、Verizon和Lumen Technologies。
国民警卫队发言人称:“国民警卫队意识到最近国防部和国土安全部关于中国附属黑客组织Salt Typhoon在2024年3月至12月期间针对陆军国民警卫队网络的报告。虽然我们无法提供攻击或我们应对措施的具体细节,但我们可以说这次攻击并未阻止国民警卫队完成指定的州或联邦任务,并且NGB继续调查入侵以确定其全部范围。我们对此事极为重视。安全协议已到位以减轻进一步风险并遏制任何潜在的数据泄露,应对工作正在进行中。我们正与DHS和其他联邦伙伴密切协调。”
针对关键基础设施的更广泛活动的一部分
国民警卫队入侵是Salt Typhoon针对美国政府和关键基础设施实体的更广泛活动的一部分。备忘录称:“在2023年和2024年,Salt Typhoon还从12个部门(包括能源、通信、交通以及水和废水)窃取了与约70个美国政府和关键基础设施实体相关的1,462个网络配置文件。”这些配置文件构成重大威胁,因为它们“可能启用对其他网络的进一步计算机网络利用,包括数据捕获、管理员账户操纵和网络之间的横向移动,”文件解释。
由于国民警卫队的联邦-州双重角色以及与地方政府系统的广泛连接,此次入侵对美国网络安全防御构成特殊风险。备忘录警告称:“Salt Typhoon成功入侵全国各州陆军国民警卫队网络可能削弱地方保护关键基础设施的网络安全努力。”这一担忧因“在约14个州,陆军国民警卫队单位与负责共享威胁信息(包括网络威胁)的州融合中心整合”而加剧。备忘录指出,在至少一个州,“地方陆军国民警卫队单位直接提供网络防御服务”,使得入侵对关键基础设施保护尤为令人担忧。
窃取的敏感军事数据
攻击者在九个月的入侵期间获得了高度敏感的军事和基础设施信息。备忘录称:“2024年,Salt Typhoon利用其对美国某州陆军国民警卫队网络的访问权限,外泄了管理员凭证、网络流量图、全州地理位置地图以及其服务人员的PII。”除了直接数据盗窃外,备忘录警告称,Salt Typhoon对这些网络的访问“可能包括州网络防御态势信息以及州网络安全人员的个人可识别信息(PII)和工作地点——这些数据可用于指导未来的网络目标工作。”入侵“可能为北京提供数据,以促进黑客攻击其他州的陆军国民警卫队单位,以及可能许多州级网络安全伙伴,”备忘录指出。
既定的利用模式
Salt Typhoon展示了使用窃取网络数据启用后续攻击的一致方法。备忘录称:“Salt Typhoon先前曾使用外泄的网络配置文件来启用其他地方的网络入侵。”具体来说,“在2024年1月至3月期间,Salt Typhoon外泄了与其他美国政府和关键基础设施实体相关的配置文件,包括至少两个美国州政府机构。至少其中一个文件后来指导了他们入侵另一个美国政府机构网络上的易受攻击设备。”备忘录解释称,对配置文件的访问“可以为威胁行为者提供敏感信息,如凭证、网络拓扑细节和安全设置,他们需要这些来获得和维持访问权限,以及外泄数据。”文件警告称,如果Salt Typhoon成功入侵州级网络安全伙伴,可能“在危机或冲突期间削弱州级网络安全伙伴防御美国关键基础设施 against 中国网络活动的能力。”考虑到州和联邦网络安全操作的互联性,这一威胁尤为令人担忧,其中一个系统的入侵可能潜在级联到多个网络和管辖区。
技术方法和漏洞
备忘录提供了关于Salt Typhoon攻击方法的技术细节,指出自2023年以来,该组织“利用了一系列不同的常见漏洞和暴露(CVE),使用一系列租赁的互联网协议(IP)地址来掩盖其活动。”文件包括该组织利用的特定CVE,如CVE-2018-0171、CVE-2023-20198、CVE-2023-20273和CVE-2024-3400,以及相关的恶意IP地址。为防御此类攻击,备忘录建议“网络防御者应遵循最佳实践来强化其网络设备 against 网络利用,并维护适当的网络活动审计和日志记录。”备忘录的发布之际,特朗普政府解散了网络安全审查委员会,该委员会一直在调查Salt Typhoon对美国电信公司的攻击,可能限制对该威胁的持续监督。文件警告称,Salt Typhoon成功入侵国民警卫队网络可能对美国在与中国危机或冲突期间防御关键基础设施的能力产生深远影响。