北京支持骇客攻击美国基础设施 五眼联盟示警

骇客攻击。(达志影像/shutterstock提供)

美国、英国等「五眼联盟」国家警告,受中华人民共和国政府支持的骇客组织Volt Typhoon近日被发现攻击美国关键基础设施,且可能使用同样技巧攻击世界其他地方以及基础设施以外领域。

美国国家安全局(NSA)、网路安全暨基础设施安全局(CISA)、联邦调查局(FBI),以及英国国家网路安全中心(NCSC)与加拿大、澳洲、纽西兰政府相关单位24日发布联合警讯,列举Volt Typhoon(伏特台风)的攻击路径和策略。美、英、加、纽、澳这5个国家共同组成情报分享联盟「五眼联盟」(Five Eyes)。

五眼联盟示警,Volt Typhoon主要运用「就地取材」(Living off the Land)技术发动攻击,也就是利用已存在于目标系统内的工具和服务达成目的。骇客透过融入正常的Windows系统和网路活动避免遭侦测、减少犯罪痕迹,并提高系统和专家辨识恶意行为的难度。

目前已知Volt Typhoon利用的系统内建工具包括wmic、ntdsutil、netsh、PowerShell;入侵途径则有小型企业和居家办公室(SOHO)网路与虚拟私人网路(VPN)设备、开源工具(open-source tools)等。

微软公司(Microsoft)24日也发布安全威胁情报,同样明确指出Volt Typhoon攻击美国关键基础设施。Volt Typhoon以中国为根据地、受国家资助,2021年中期开始活跃,以从事间谍和资讯搜集活动为主。

Volt Typhoon并非首次攻击美国基础设施。微软指出,在最近一波攻击,Volt Typhoon的打击范围横跨海事、通讯、制造、交通运输、建筑营造、资讯科技、教育、公共设施等领域,以及政府部门。

微软初步判定,Volt Typhoon此次行动目标包括间谍情搜,以及在不被侦测到的情况下维持对系统的入侵,入侵时间「越久越好」。

微软评估,不排除Volt Typhoon最新一波行动是为未来更大规模的攻击作准备:破坏美国与亚洲之间的通讯关键基础设施。(编辑:杨昭彦)1120526