中國的鹽颱風間諜仍在駭客電信——現在利用思科路由器

當中國駭客組織「Salt Typhoon」去年秋天被揭露已深入滲透美國主要電信公司，最終攻破至少九家電信公司並即時存取美國人的簡訊和通話時，美國政府視這次駭客攻擊為四級火警。然而，即使這些駭客被高調曝光後，他們仍繼續在全球範圍內入侵電信網路，包括更多的美國公司。

網路安全公司Recorded Future的研究人員在週三晚上發佈的一份報告中透露，他們觀察到Salt Typhoon在全球範圍內攻破了五家電信和網際網路服務供應商，以及從猶他州到越南的十多所大學，這些活動發生在12月至1月之間。據該公司分析師表示，這些電信公司包括一家美國的網際網路服務供應商和電信公司，以及一家英國電信公司的美國子公司，但他們拒絕向WIRED透露這些受害者的名稱。

「他們非常活躍，並且持續保持高度活躍，」Recorded Future的研究團隊Insikt Group的負責人Levi Gundert說。「我認為大家普遍低估了他們在將電信網路變成瑞士奶酪方面的侵略性。」

為了進行這次最新的入侵活動，Salt Typhoon—Recorded Future以自己的名稱RedMike追蹤他們，而不是微軟創建的Typhoon名稱—針對了思科（Cisco）IOS軟體的網路暴露介面，這些軟體運行在這家網路巨頭的路由器和交換機上。駭客利用了這些設備代碼中的兩個不同漏洞，其中一個提供初始訪問，另一個提供root權限，使駭客能完全控制這些通常具有強大功能的設備，並能訪問受害者的網路。

「任何時候你嵌入在像路由器這樣的通信網路基礎設施中，你就擁有了進入王國的鑰匙，能夠訪問、觀察和竊取資料，」Gundert說。

Recorded Future發現超過12,000台思科設備的網路介面暴露在網上，並表示駭客針對全球超過一千台這樣的設備進行攻擊。在這些設備中，他們似乎專注於一小部分電信和大學網路，這些網路的思科設備被他們成功利用。對於這些選定的目標，Salt Typhoon配置被駭的思科設備，透過通用路由封裝（GRE）隧道—一種用於設立私人通信通道的協議—連接到駭客自己的指揮和控制伺服器，然後利用這些連接維持他們的訪問並竊取資料。

當WIRED聯繫思科尋求評論時，該公司指出其在2023年發佈的關於其IOS軟體網路介面漏洞的安全建議。「我們繼續強烈敦促客戶遵循建議中的指引並升級到可用的修復軟體版本，」一位發言人在聲明中寫道。

將網路設備作為攻擊目標的入口點—通常是利用設備擁有者未修補的已知漏洞—已成為Salt Typhoon和其他中國駭客組織的標準操作程序。這部分是因為這些網路設備缺乏許多已經擴展到更傳統計算設備如伺服器和PC的安全控制和監控軟體。Recorded Future在其報告中指出，至少五年來，精密的中國間諜團隊已將這些易受攻擊的網路設備作為主要入侵技術目標。