联合安全警告发布

2025年8月27日，美国网络安全和基础设施安全局（CISA）与国家安全局（NSA）、联邦调查局（FBI）及国防部网络犯罪中心（DC3）联合发布安全公告，警示与中国相关的网络威胁活动正在增加。该公告获得了澳大利亚、加拿大、新西兰、英国、捷克、芬兰、德国、意大利、日本、荷兰、波兰和西班牙等国际网络安全合作伙伴的共同撰写与认可。

攻击目标与手法

初始入侵途径

公告警告称，中国国家支持的网络威胁组织正积极针对全球多个行业的网络，包括电信、政府、交通、住宿和军事基础设施网络。这些攻击者已知会利用边缘设备（特别是路由器）中公开披露的漏洞获取初始访问权限。路由器通常缺乏端点或服务器那样强大的监控能力，因此成为隐蔽入侵的理想目标。

横向移动与持久化

一旦进入组织环境，威胁参与者会“利用受感染设备和可信连接横向移动到其他网络”，并采用复杂的规避技术，如修改路由器配置进行横向移动、使用非标准端口，以维持长期访问进行间谍活动和潜在破坏。这些战术包括“无文件攻击”，利用合法（被盗）凭证和开源工具，经常绕过防病毒或端点检测与响应解决方案。此外，他们擅长操纵或删除日志以消除活动痕迹。

威胁背景与演变

此公告发布之际，正值疑似中国关联威胁组织“盐台风”对美国多家电信机构的广泛渗透被大量报道。中国背景威胁组织对关键基础设施的攻击已持续多年，例如以渗透美国关键基础设施（包括电力和供水系统）而闻名的“伏特台风”组织活动增加，以及最近因广泛僵尸网络活动被财政部外国资产控制办公室（OFAC）制裁的“亚麻台风”组织。本公告明确指出，中国支持的威胁组织正将重点从电信和关键基础设施扩展到其他行业。

防御建议与缓解措施

公告强烈敦促网络防御者主动搜寻恶意活动并实施推荐的缓解措施，以降低中国关联威胁的风险，并强调在启动修复前了解入侵全范围的重要性，因为缓解步骤的正确排序将有助于最大程度地将威胁参与者完全驱逐出网络。虽然公告提供了一套全面的技术缓解措施，但鼓励组织实施以下通用建议：

监控与审计

• 定期审查网络设备（尤其是路由器）日志和配置，寻找任何意外、未经批准或异常活动的证据，特别是公告中列出的活动
• 采用健全的变更管理流程——包括定期审计设备配置

事件响应

• 在缓解前尝试确定疑似入侵的全范围。威胁搜寻和事件响应工作应与全面驱逐威胁者和最小化损害的目标相平衡

网络加固

• 禁用管理接口的出站连接以限制可能的横向移动活动
• 禁用所有未使用的端口和协议，包括流量协议和管理协议
• 仅使用加密和认证的管理协议（即SSH、SFTP/SCP、HTTPS），并禁用所有其他协议（即Telnet、FTP、HTTP）

身份验证管理

• 更改默认管理凭据，特别是网络设备或其他网络设备
• 对管理角色要求公钥认证，在可行情况下禁用密码认证，并最小化认证尝试和锁定窗口以减缓暴力破解和凭据喷洒尝试

系统更新

• 使用供应商推荐版本的网络设备操作系统，并保持所有补丁更新。将不受支持的网络设备升级为供应商提供安全更新的支持设备

持续威胁态势

鼓励组织在此国际紧张局势加剧和威胁态势升高的时期保持高度戒备状态。Alston & Bird网络、隐私和数据战略团队将继续监测情况，并在事态发展时提供更新。