中国黑客秘密入侵美国互联网提供商
在这个快速发展的世界里,科技驱动着我们日常生活的方方面面,网络间谍活动的无形威胁也日益严重,无人能幸免。这场持续的网络战中,最新一起事件曝光了中国支持的黑客入侵美国互联网服务提供商 (ISP) 的事件,暴露了即使是在高度戒备的网络中也存在漏洞。
据《华尔街日报》报道,此次攻击活动与微软追踪的 Salt Typhoon 威胁组织有关。这些黑客也被称为FamousSparrow或 GhostEmperor,他们精心策划了针对“少数”ISP 的复杂攻击,以窃取敏感信息。此类攻击活动的主要目标通常是关键基础设施,这次也不例外。
Table of Contents
黑客的方法
报告显示,这些网络犯罪分子可能已经访问了互联网基础设施的核心——思科系统路由器。这些路由器负责引导很大一部分互联网流量,因此成为受国家支持的黑客的理想目标,这些黑客旨在建立对敏感网络的持久访问。
此次攻击背后的组织 GhostEmperor 于 2021 年 10 月首次出现在网络聚光灯下。它最初是由俄罗斯网络安全公司卡巴斯基在调查针对东南亚国家的行动时发现的。他们的攻击涉及部署一个名为 Demodex 的强大 rootkit,使他们能够在不被发现的情况下进行间谍活动。他们的努力不仅影响了马来西亚、越南和泰国的主要实体,而且还触及了埃及和埃塞俄比亚等地的远距离目标。
时间快进到 2024 年 7 月,网络安全公司 Sygnia 发现了 GhostEmperor 的另一次攻击。这一次,一个未具名的组织遭到入侵,通过这个组织,其一名商业伙伴也成了受害者。调查显示,该组织部署了多种工具,包括 Demodex 的修改版本,用于与命令和控制服务器进行通信,凸显了他们的技术实力和决心。
中国网络间谍活动是持续威胁
此次攻击曝光前几天,美国政府刚刚捣毁了一个由 26 万台设备组成的大型僵尸网络,名为“猛禽列车”。该僵尸网络由另一个与中国有关的组织 Flax Typhoon 运营,是近年来一系列被归咎于中国的激进网络攻击的又一例证。
这些无情的攻击凸显了国家支持的行为者(尤其是与北京结盟的行为者)始终存在的危险。他们专注于渗透电信、互联网服务提供商和其他关键基础设施,这提醒我们加强各部门的网络安全防御是多么重要。
持久性和数据窃取
这些网络入侵之所以特别令人担忧,是因为其战略性质。这些攻击的主要目标是获得对目标网络的长期、秘密访问权。一旦进入目标网络,攻击者不仅可以窃取敏感数据,还可以在必要时破坏或损坏系统。无论目标是间谍活动还是在未来冲突中破坏基础设施的能力,其后果都是巨大的。
对 ISP 和电信网络的关注进一步提高了风险。通过在如此基础的层面上控制或拦截流量,威胁行为者可以监控通信、破坏服务并在不被立即发现的情况下提取高价值信息。
公司该如何保护自己?
虽然没有任何防御措施是万无一失的,但组织可以采取一些措施来降低此类网络间谍活动的风险:
- 持续监控:对异常网络活动实施实时监控可以帮助及早发现入侵。
- 补丁管理:定期更新和修补系统,尤其是路由器等关键基础设施组件,至关重要。
- 零信任架构:转向零信任模型,其中用户、设备和系统必须持续进行身份验证,有助于限制对敏感区域的访问。
- 与网络安全专家合作:与第三方安全专家合作,例如 Sygnia 的案例,可以帮助发现和应对高级威胁。
更广泛的影响
随着网络战的发展,赌注不再只是数据盗窃。我们正在目睹一场全球博弈,中国等国家正在利用其网络能力来扭转局势。在这个新时代,基础设施与传统情报机构或军事资产一样,都是攻击目标。
GhostEmperor 组织及其对美国 ISP 的入侵的最新披露,清楚地提醒我们,即使是最强大的系统也非常脆弱。对于全球组织而言,不仅要领先一步,还要了解网络战场总是在不断演变 — 敌人比我们想象的还要近。
在这个新世界里,准备和警惕是我们掌握的关键防御机制。无论是通过政府行动还是企业举措,打击国家支持的网络间谍活动都是一场需要不断创新、合作和关注的战斗。
