根據<<華爾街日報>>報導,中國國家級的駭客組織「鹽颱風」(Salt Typhoon)針對多家美國網路服務供應商(ISP)進行網路攻擊,並試圖蒐集機密資訊;同時,其他另外多個國家包含加拿大、澳洲以及紐西蘭也警告,相同的單位也已入侵到多個國家的主要ISP單位。
專家指出,「鹽颱風」可能採用了針對網路裝置韌體漏洞的供應鏈攻擊手段。例如,路由器或交換器中的乙太網路控制器若來自中國供應商,可能已被植入惡意程式碼或後門。此外,網路釣魚與社交工程攻擊亦成為其常用策略。
目前初估的手法包含以下:
1. 利用零日漏洞與韌體弱點
零日漏洞利用:Salt Typhoon 常針對尚未公開的漏洞進行攻擊,特別是在電信裝置的核心韌體中發現漏洞。這些漏洞可能存在於路由器、交換器或其他關鍵網路裝置中。
韌體弱點:攻擊者利用韌體中未加密或未檢查的程式碼,植入惡意程式或後門,進一步取得系統控制權。
2. 供應鏈攻擊
硬體供應商滲透:Salt Typhoon 可能針對與電信公司合作的硬體供應商,例如乙太網路控制器的供應商,植入惡意程式。
軟體更新滲透:攻擊者可能透過劫持供應商的軟體更新,將惡意程式注入目標公司的基礎設施。
3. 社交工程與網路釣魚
針對員工的攻擊:攻擊者透過精心設計的網路釣魚郵件或社交工程攻擊,欺騙員工點擊惡意連結或提供敏感憑證。
憑證洩露利用:獲得憑證後,攻擊者可以橫向移動進入更深層的網路系統。
4. 網路滲透與永續性
網路分段跳板:一旦滲透進網路,攻擊者使用多跳技術移動到關鍵系統,並安裝工具以保持永續性。
橫向移動:Salt Typhoon 使用橫向移動策略,進一步攻擊其他相關的伺服器與裝置,收集更廣泛的資料。
5. 竊取與分析資料
資料蒐集:攻擊者從被入侵的系統中竊取機密資料,包括使用者資料、網路拓撲和運營商協定等。
情報蒐集:利用收集到的資料進行進一步的情報分析,制定更具針對性的攻擊計劃。
6. 利用現有工具與架構
Salt Typhoon 通常會採用已知的網路滲透工具,來進行行動,這使其更難被檢測。
因此,臺灣特洛奇針對以下常見的駭客手法,可提供多元化的解決方案,包含:
- 源頭的封包側錄及分析,以因應突發資安事件
- 流量條件情資牆設定,以阻絕惡意IP或是駭客攻擊
- 資安事件模擬:包含紅藍隊演練,以及網路流量模擬,以應對大行資安事件
- 弱點掃描:定期進行弱點掃描,避免駭客攻擊風險
- 情資分析:可透過非法暗網的情資蒐尋以判別有無相關資訊流通
在攻擊手法日新月異的生活中,相關的資安部屬也需要隨之更迭進步發展,臺灣特洛奇將會透過蒐集國內外趨勢以及與國際知名廠商合作,提供給顧客最完整的解決方案。
訊息來源:
《華爾街日報》原文報導:
U.S. Officials Race to Understand Severity of China's Salt Typhoon Hacks