美国史上最大电信攻击剖析：发生了什么以及我们如何反击

当参议员本·雷·卢汉警告美国正面临“我们国家历史上最大的电信黑客攻击”时，这标志着我们对国家网络风险的理解发生了转折。

2024年12月4日，白宫证实了一场广泛的网络间谍活动，目标是数十个国家的80家全球电信提供商¹。美国国家安全局（NSA）、国防部和网络安全与基础设施安全局（CISA）联合发起了“持久安全框架行动”以控制损害。

幕后黑手：一个被微软称为Salt Typhoon的复杂国家级威胁行为体，也被追踪为Ghost Emperor、FamousSparrow、Earth Estrie、UNC2286，以及更早的LightBasin / UNC1945 / LIMINAL PANDA²⁻⁴。

而且，这场活动尚未结束。

2025年6月发布的一份国土安全部备忘录显示，Salt Typhoon已“广泛”侵入美国某个州的陆军国民警卫队网络，获取了管理员凭证和敏感的配置数据——并有迹象表明其已渗透所有50个州⁵。

以下便是事件经过——以及防止下一次攻击的蓝图。

一项持续多年、全球范围的间谍行动

电信网络曾因其物理隔离性——即所谓的“围墙花园”——而被长期认为是安全的。但研究人员已在公共互联网上识别出超过749,000个GTP可达主机，覆盖162个国家的1,176家服务提供商，暴露了38类可能的滥用风险⁶。

Salt Typhoon利用了这种虚假的安全感，将已知漏洞、未修补的基础设施、供应链弱点以及漫游协议的盲点串联起来。

这不是一场利用零日漏洞的行动，而是一场以技术纪律驱动的行动。

攻击者如何获得初始访问权限

Salt Typhoon结合了电信特有的入侵方法和被广泛利用的CVE漏洞。

凭证捕获与基于SIM的攻击 攻击者使用了：

• SIM交换（通常需要内部人员合作）
• SIM克隆（通过社会工程学）
• 被动用户设备信号捕获
• 半被动攻击（通过短信/电话触发UE信令）
• 通过伪基站进行主动捕获——这也是执法部门IMSI捕捉器工具中使用的一种技术⁷⁻⁸

网络指纹识别 他们使用GTScan、SigPloit和SCTPscan⁹⁻¹¹等工具扫描运营商和合作伙伴网络中的易受攻击系统。

利用已知漏洞 Salt Typhoon严重依赖公开披露的漏洞，包括：

• Ivanti (CVE-2024-21887)
• Palo Alto Networks PAN-OS (CVE-2024-3400)
• Cisco IOS XE (CVE-2023-20273, CVE-2023-20198, CVE-2018-0171)¹²

供应链弱点 根据Gartner的数据，近60%的违规行为源于第三方途径¹³。电信公司严重依赖供应商、CI/CD管道和运营支持系统——这使得供应链成为可靠的攻击入口。

持久化与横向移动

一旦进入内部，Salt Typhoon便有条不紊地工作以保持驻留。

混淆与安全修改 他们修改了：

• 访问控制列表
• 系统配置
• 日志记录路径
• 服务端口暴露（包括高端口、未监控端口）

隐蔽信道与隧道 他们建立了加密信道——高端口上的SSH、GRE隧道和IPsec——以进行横向移动并隐藏命令流量。

滥用SNMP与容器 Salt Typhoon重新利用SNMP团体字符串来修改路由器/交换机配置，并在易受攻击的思科硬件中使用设备上的Linux容器进行工具部署和隐蔽移动。

权限提升与令牌滥用 通过入侵身份验证系统（如TACACS+）、令牌劫持以及虚拟机/容器逃逸，他们得以触及更深的网络层。

通过漫游协议进行命令与控制

Salt Typhoon将移动漫游架构本身用作C2骨干。

GTP滥用 美国国家标准与技术研究院（NIST）和学术研究人员早就警告过GTP缺乏完整性、身份验证和重放保护¹⁴⁻¹⁵。 Salt Typhoon将这些漏洞武器化了。

GTPDOOR 一个名为GTPDOOR的自定义后门充当了持久的命令分发层，通过漫游接口实现隐蔽通信和数据外泄¹⁶。

数据收集与外泄

建立C2后，Salt Typhoon开始收集高价值的通信数据。

收集技术 他们使用了：

• 通过被入侵的交换机网络嗅探通话/短信流量
• 中间人攻击（ARP、DNS、LLMNR）
• 被入侵的短消息服务中心（SMSC）捕获消息内容
• 软件定义网络（SDN）控制器操纵以重定向流量
• 内存抓取令牌、密钥和凭证
• 通过GTP-U/C操纵进行用户面重定向
• 通过被入侵的管理与编排（MANO）系统注入恶意虚拟网络功能（VNF）

外泄渠道 他们通过以下渠道外泄数据：

• 电信协议：GTP、SIGTRAN、eDNS
• 标准协议：FTP、SMTP、HTTPS、SMB、DNS
• 甚至利用合法的网络服务进行隐蔽提取

攻击为何能够得逞

最令人震惊的事实是： Salt Typhoon所做的一切都不是新颖的。 他们之所以成功，是因为运营商缺乏：

• 零信任架构
• 漫游接口防火墙
• 微隔离
• 持续的漏洞管理
• 端到端的可见性
• 供应链安全强化
• 边界上的预防为先的安全策略

用安妮·纽伯格的话说：*“普遍接受的网络安全实践本会使攻击的执行难度大大增加，并更容易从中恢复。”*¹

防御蓝图

预防为先的安全 边界处的自主威胁预防可以阻止零日漏洞攻击，扫描异常，并关联整个网络的事件。

零信任架构 没有隐式信任。在每一跳进行持续的身份验证和授权¹⁷。

微隔离 将网络划分为不同的区域，以遏制入侵并防止横向扩散¹⁸⁻¹⁹。

漏洞管理 持续扫描和修补可以封堵Salt Typhoon所利用的确切立足点²⁰⁻²¹。

GTP感知的运营商级防火墙 全球移动通信系统协会（GSMA）建议对漫游接口应用机密性、完整性和重放保护²²。专用的GTP防火墙可以强制执行3GPP和FS.20标准。

强化的供应链控制 监控CI/CD管道，强制执行供应商访问限制，并对合作伙伴应用零信任原则。

统一的观测性 跨所有网络层的遥测可以增加检测隐蔽信道、未经授权的SNMP操作和权限提升尝试的可能性。

战斗尚未结束

Salt Typhoon的活动仍在进行中，未得到缓解。 关于他们的访问权限、工具集和长期意图，仍有很多有待发现。 但有一点是确定的： 电信网络之所以被入侵，并不是因为攻击者发明了新技术——而是因为运营商未能实施现有的、成熟的安全实践。

前进的道路很明确：零信任、微隔离、强大的GTP保护、持续的漏洞管理以及预防为先的安全态势。 这次攻击在规模上可能是历史性的——但在原则上是可以预防的。

尾注

1. Politico – 白宫竭力遏制大规模中国电信黑客攻击 (12/04/2024)
2. CrowdStrike – LightBasin电信攻击分析 (11/19/2024)
3. Kaspersky Labs – Ghost Emperor威胁研究
4. Trend Micro – Earth Estrie威胁分析
5. 美国国土安全部 – Salt Typhoon备忘录 (06/11/2025)
6. IEEE安全与隐私研讨会 – 入侵围墙花园：评估蜂窝网络中的GTP安全性 (2025)
7. 美国政府出版办公室 – IMSI捕捉器威胁 (2018)
8. 美联社 – 美国怀疑华盛顿特区存在手机间谍设备 (2018)
9. GTScan – SigPloiter代码库
10. SigPloit – 电信漏洞利用工具包
11. SCTPscan – Kali Linux工具
12. 联合安全建议 – 反击中国国家级支持的行为体 (2025)
13. Gartner – 有效第三方风险管理的3种ERM策略
14. NIST SP 1800-33B – 5G网络安全
15. IEEE SP研讨会 – GTP安全研究
16. haxrob – GTPDOOR：一种通过漫游交换进行隐蔽访问的新型后门 (2024)
17. NIST SP 800-207 – 零信任架构
18. CISA – 零信任中的微隔离 (07/29/2025)
19. NIST SP 800-207A – 云原生应用的零信任
20. CISA AA20-245A – 应对恶意活动的技术方法
21. CISA – 网络安全事件与漏洞响应手册 (2021)
22. GSMA FS.20 – GTP安全指南 (2023年4月)