美国与国际联盟发布联合警告：与中国相关的威胁活动正在增加

2025年8月27日，美国网络安全与基础设施安全局联合国家安全局、联邦调查局及国防部网络犯罪中心发布了一份联合咨询，重点关注与中国相关的威胁行为者日益增加的网络威胁活动。该咨询报告由澳大利亚、加拿大、新西兰、英国、捷克共和国、芬兰、德国、意大利、日本、荷兰、波兰和西班牙等国际网络安全合作伙伴共同撰写并认可。

咨询报告警告称，中国国家支持的网络威胁行为者正积极针对全球多个行业的网络，包括电信、政府、交通、住宿和军事基础设施网络。这些行为者已知会利用边缘设备（尤其是路由器）中公开披露的漏洞来获得初始访问权限。路由器通常缺乏应用于端点或服务器的强大监控功能，因此成为隐蔽入侵的有吸引力的目标。

一旦进入组织环境，威胁行为者会“利用受感染的设备和受信任的连接转向其他网络”，并采用复杂的规避技术，例如修改路由器配置以进行横向移动和使用非标准端口，以维持长期访问进行间谍活动和潜在破坏。这些策略包括“就地取材”，利用合法的（被盗的）凭证和开源工具，这些工具经常绕过防病毒或端点检测和响应解决方案。此外，他们擅长操纵或删除日志以消除其活动痕迹。

该咨询报告是在广泛报道的疑似与中国相关的威胁行为者“盐台风”渗透多个美国电信机构之后发布的。由中国相关的威胁行为者对关键基础设施的攻击多年来一直普遍存在，例如“伏特台风”组织活动增加，该组织以渗透美国关键基础设施（包括电力和水分配系统）而闻名；以及“亚麻台风”组织最近因广泛的僵尸网络活动被财政部外国资产控制办公室制裁。该咨询报告明确指出，与中国相关的威胁行为者正在将其焦点从电信和关键基础设施扩展到其他行业。

咨询报告强烈敦促网络防御者主动搜寻恶意活动并实施推荐的缓解措施，以降低与中国相关威胁的风险，并强调在启动修复之前了解入侵完整范围的重要性，因为缓解步骤的正确排序将有助于最大程度地完全将威胁行为者驱逐出网络。尽管咨询报告提供了一套全面的技术缓解措施供实体遵循，但它鼓励组织实施以下一般建议以防范与中国相关的网络安全攻击：

• 定期审查网络设备（尤其是路由器）日志和配置，寻找任何意外、未经批准或不寻常活动的证据，特别是咨询报告中列出的活动。
• 采用强大的变更管理流程——包括定期审计设备配置。
• 在缓解之前尝试识别疑似入侵的完整范围。威胁搜寻和事件响应工作应与全面驱逐威胁行为者和最小化损害的目标相平衡。
• 禁用管理接口的出站连接以限制可能的横向移动活动。
• 禁用所有未使用的端口和协议，包括流量协议和管理协议。
• 仅使用加密和认证的管理协议（如SSH、SFTP/SCP、HTTPS），并禁用所有其他协议（如Telnet、FTP、HTTP）。
• 更改默认管理凭据，特别是网络设备或其他网络设备。
• 对管理角色要求公钥认证，在可行的情况下禁用密码认证，并最小化认证尝试次数和锁定窗口以减缓暴力破解和凭据喷洒尝试。
• 使用供应商推荐的网络设备操作系统版本，并保持所有补丁更新。将不受支持的网络设备升级到供应商提供安全更新的受支持设备。

鼓励组织在此国际紧张局势加剧和威胁态势升级的时期保持高度准备状态。Alston & Bird网络、隐私和数据战略团队将继续监测情况，并在事态发展时提供更新。