|
美英等十國聯合警告 中共黑客全球攻擊出現新手段
【人民報消息】(人民報記者伍宇亮報導)日前,美國聯邦調查局(FBI)及國家安全局、英國國家網路安全中心(NCSC)、澳洲網路安全中心(ACSC)、加拿大網路安全中心(Cyber Centre)、德國聯邦憲法保衛局(BfV)及聯邦資訊安全局(BSI)、日本國家網路統括室(NCO)、荷蘭軍事情報和安全局(MIVD)等10個國家,聯合發布安全公告,警告中共黑客正大規模利用相對容易入侵的網路設備,例如家用WiFi路由器、智能家居設備(如手機)等構建隱藏網路攻擊的實際來源,以掩蓋其惡意網絡行動,呼籲各國立即對此加強防禦。各單位已分別在國內發布預防措施與行動對策建議。
公告指出,這類利用所謂「隱蔽網絡」或「殭屍網絡」(Botnets)的運作原理,是將惡意流量透過全球數以千計乃至數十萬計的被入侵家居設備層層轉發,以掩蓋攻擊來源。其中被劫持最多的是家用WiFi路由器,打印機和聯網攝影機同樣易受入侵。
「殭屍網絡」(Botnet)是指由大量受惡意軟體感染且被遠端控制的連網裝置(如電腦、手機、路由器、IoT設備)所組成的網絡。網絡中的每一台受感染裝置被稱為「殭屍」(Zombie)或「機器人」(Bot)。背後操控這些裝置的黑客被稱為「殭屍牧人」(Bot Herder)。
安全官員對此解釋說,一個普通家庭的WiFi路由器可能會在屋主毫不知情的情況下,被用作攻擊某家大型企業的中轉渠道。
英國國家網路安全中心NCSC指出,惡意行為者往往利用日常生活的網路邊緣裝置建構秘密活動網絡,如家用路由器、各式智慧電子設備等,而且使用者很有可能未察覺裝置已遭入侵。依賴已知證據的傳統威脅檢測方法正在失效。這類秘密網絡也被用於竊取敏感資料,同時維持持續性的入侵。打擊目標涵蓋足以對國家安全、經濟活動和民眾生活構成可觀影響的關鍵領域,範圍廣及全球。
根據分析,這類惡意網絡可用於執行網路攻擊鍊每一階段,包含目標偵察、惡意軟體投放、指揮管制和資料輸出;不僅可迅速動態調整,成本也相對低廉。惡意行為者可使用動態IP位址及隨機生成的路徑快速發動攻擊,網路安全防衛難度因此急遽上升。
比如,受中共支持的網絡攻擊組織——「伏特颱風」(Volt Typhoon)被點名為此類「隱蔽網絡」的主要使用者,已悄然滲透進美國包括鐵路、航空和水務系統在內的關鍵基礎設施。
被稱為「猛禽列車」(Raptor Train)的「殭屍網絡」,在全球感染了逾20萬台聯網設備,調查人員對其追本溯源,最終查至一家中國科技企業。
在此公告發布前一天,英國國家網絡安全中心主任理查德‧霍恩(Richard Horne)剛剛在格拉斯哥(Glasgow)舉行的年度會議上警告說,中共情報和軍事機構在網絡行動方面擁有「令人瞠目結舌的高水平和複雜性」。
他還透露說,英國平均每周都需要處理大約四宗具全國威脅性的網絡事件,而影響最大的網絡攻擊,越來越多地與國家政權而非純粹犯罪集團有關。
中共網絡攻擊世界各國和地區已歷史長遠。2015年香港區議會選舉,有至少有20名民主黨成員的電郵遭來自大陸IP地址的黑客攻擊。2016年-2021年期間,香港民主運動人士劉小麗、陳健民等,多次引述Google警告表示,自己Gmail戶口受到黑客攻擊,他們都不約而同暗示,攻擊來自大陸。
2021年3月,Facebook揭發中國黑客入侵境內外維吾爾人士,包括記者、維權同埋異見人士等的電腦、手機,以對目標對象進行監視。
中華民國國家安全局(NSB)發布報告披露:2025年大陸對臺灣發動的網絡攻擊平均每天達263萬次,在短短兩年內已翻倍,目標涵蓋能源部門、應急服務體系及醫院等關鍵基礎設施,採用了多種手段,包括利用硬件與軟件漏洞(佔比超過55%)、分布式拒絕服務攻擊(DDoS)、社會工程攻擊(如釣魚、語音詐騙和惡意軟件),以及針對供應鍊的攻擊,試圖滲透臺灣關鍵基礎設施供應商及其合作企業的網絡,通過身分冒用,黑客得以控制這些目標的共享系統、系統更新及設備維護流程,從而在臺灣關鍵基礎設施中植入並傳播惡意軟件。
報告識別出五個主要的中國黑客組織。它們各自瞄準的目標和涉足的領域有所不同。其中之一因攻擊藏人社區,以及美國、菲律賓、巴基斯坦、越南和歐洲的政府機構、非政府組織與智庫而廣受關注。
去年,中共發起名為「鹽颱風」的最具野心的網攻行動,目標是80多個國家。媒體報道,這次網攻可能竊取了所有美國人信息。調查人員表示,「鹽颱風」襲擊滲透到了主要電信公司和其他公司,被盜數據可能會讓中共情報機構利用全球通信網絡追蹤包括政界人士、間諜和活動人士在內的目標。
這次美英十國網絡安全機構在公告中指出,大多數與中共相關的黑客威脅行為者均在使用這些隱蔽網絡,這些網絡被持續更新,且單一網絡可能同時被多個行為者使用。其中一個案例顯示,一家中國私營公司透過感染全球逾20萬台裝置,建立了一個龐大的「隱蔽網絡」。
在聯合公告中,網絡專家們針對面臨不同等級風險的組織提出了不同的具體防禦建議。
面對一般風險的企業和機構,專家們認為,應維護聯網設備詳細清單、監控其正常流量及模式,並對遠程訪問網絡的員工實施多重身分驗證(MFA)。
面臨高風險組織,專家們警示,則應限制外部訪問權限、採用零信任架構,確保任何連接均須經過驗證,並減少系統的對外暴露。
面對國家級威脅的關鍵基礎設施營運者,專家強調,更須主動排查來自家用智能設備的可疑流量,並運用機器學習技術及早發現異常。
△
|
