电信安全：关键基础设施的交汇点

电信服务提供商（TSP）是现代技术社会运作的基础，作为许多关键基础设施部门维持通信、协调和控制的通道。虽然工业控制系统（ICS）通常在隔离的操作网络/飞地内运行，但一些关键基础设施部门依赖TSP进行远程监控、数据传输或跨分散站点的安全连接。例如，这种依赖性在通信、能源、水务和废水、交通、应急服务和关键制造等行业中可见。TSP与关键基础设施的交汇点成为恶意行为者的有吸引力的目标，因为电信基础设施的弱点可能提供破坏、拦截或操纵通信的潜在渠道，正如许多高级持续性威胁（APT）活动所示。

电信日益成为对手的目标

TSP由于其作为基础设施和情报网关的双重角色，已成为网络对手的中心焦点。像乌克兰的Sandworm、美国和全球的Salt Typhoon，以及针对关岛TSP的Volt Typhoon活动，都说明了电信如何成为网络操作中的关键节点。威胁行为者利用电信环境收集敏感的情报驱动数据和用户信息，并部署勒索软件以获取经济利益。关键的是，他们还可以利用这种访问进行高级侦察和访问相互依赖性，从而进入其他部门（例如能源、应急服务或军事通信）。一旦进入电信提供商的环境，攻击者可以侵入管理呼叫、消息和数据路由的系统（SS7/Diameter），以及用于管理客户账户和网络操作的平台（OSS/BSS）。他们可能还针对托管基础设施——核心路由器、交换机和其他处理内部和客户流量的网络设备。这些不仅仅是电信特定系统——它们是战略资产。从这里，对手可以悄悄观察、窃取数据或横向移动到其他连接的部门。即使在电信层面检测到入侵，攻击者可能已经转向客户网络或嵌入托管基础设施中，潜伏等待未来机会。随着全球紧张局势的升级，这些网络不再中立的基础设施——它们成为争夺的战场。

跨部门网络风险：现代活动的教训

最近的活动强调了一个令人不安的趋势，即威胁行为者入侵TSP不是最终目标，而是进入更广泛关键基础设施的网关。2024年，与中国有关的Salt Typhoon使用凭证滥用和长期存在的路由器漏洞渗透主要电信公司，收集敏感元数据，并可能访问与政治和国家安全利益相关的系统。类似地，Volt Typhoon（至少自2021年以来活跃）使用隐蔽的“靠土地生活”技术在电信和基础设施网络中持久存在，跨能源、水务和交通等部门嵌入控制系统。这些操作不仅表明间谍活动或利润驱动操作，还为未来破坏进行应急规划。2023年，Sandworm渗透乌克兰最大的TSP Kyivstar， disrupt服务约2400万用户。虽然头条新闻主要关注这些活动最终状态的破坏和退化，但对手嵌入的许多月可能被用于评估通往其他目标的路径，并在受损的TSP之外维持操作。

展望未来

随着威胁格局的不断演变，防御者必须准备应对将TSP视为战略入口点而非最终目标的对手。未来的活动可能会继续模糊部门之间的界限，利用可信的互连性尝试从TSP映射和移动到其他关键基础设施。由于事件响应通常关注直接入侵（范围、成本、权限等），在评估攻击者可能已经转向的位置时，如果超出此范围，往往存在盲点。这强调了在提供商和客户环境中进行集成威胁狩猎和信息共享、改进托管基础设施的遥测以及主动跨部门协作的必要性。防御者必须将范围扩展到遏制和根除以考虑长期游戏、对手休眠期，以破坏攻击者在一个部门嵌套以进入另一个部门的能力。

关于作者

Trea Zemaitis，Core4ce的高级安全工程师，在漏洞/渗透测试评估、计算机取证和SOC操作方面拥有丰富经验。他的职业生涯跨越公共和私营部门、咨询和军事角色，领导全球安全参与，包括红队和紫队。Trea还拥有网络安全和经济学的 advanced 学位，专注于博弈论，并拥有广泛的 advanced 行业认证。