美國國家安全局(National Security Agency,NSA) 與美國網路安全暨基礎設施安全局(CISA)、聯邦調查局(FBI),以及英國國家網路安全中心(NCSC)與加拿大、澳洲、紐西蘭政府等相關單位於24日發布共同調查的網路安全聯合報告,發現中國駭客組織Volt Typhoon(伏特颱風)攻擊了大量的美國關鍵基礎設施機構,從電信到交通運輸樞紐都涵括在內。
微軟表示,這個駭客組織的行動,與使用傳統駭客技術相反,這個組織感染受害者的現有系統,以尋找資訊和提取數據,而傳統駭客技術通常涉及到誘騙受害者下載惡意檔案。
Volt Typhoon至少從2021年就開始活動,並且針對一些產業發動攻擊,包含電信、製造、公共事業、交通運輸、建設、海事、政府、資訊科技與教育,該組織利用的系統內建工具包括wmic、ntdsutil、netsh、PowerShell;入侵途徑則有小型企業和居家辦公室(SOHO)網路與虛擬私人網路(VPN)設備、開源工具(open-source tools)等。
美國國家安全局網路安全主管喬伊斯(Rob Joyce)表示,Volt Typhoon這個由中國國家資助的間諜行動,是以就地取材的方式,利用內建網路工具來躲避我們的防禦,而且不留痕跡。這類「就地取材」(living off the land)的間諜技術較難被偵測到,因為他們利用已內建於關鍵基礎設施環境中的系統功能。
儘管調查報告無法確定有多少機構受到影響,但認定這項間諜行動,由中國政府資助的駭客組織積極破壞,美國與亞洲國家之間的關鍵通訊基礎設施、運輸、海運業者以及政府機構也成為目標。尤其有意滲透關島和美國的通訊設備,也引發美國情報部門的擔憂。
關島是美國軍事設施的所在地,也是未來應對亞太地區任何衝突的關鍵設施。因此該份對相關網路攻擊以及情報蒐查工作的報告引發關注,並提醒要減緩這類攻擊所引發的挑戰性。
儘管中國駭客對西方國家發動間諜行動已時有所聞,但這是針對美國關鍵基礎設施,已知的最大網路間諜行動之一。美、英、加、紐、澳這5個國家所共同組成情報分享聯盟「五眼聯盟」(Five Eyes)目前正在緊密追蹤此類駭客行為。
加拿大與英國皆認為,西方經濟體之間有著緊密的連結,大部分基礎設施都是緊密整合的,攻擊其中一個可能會影響另一個,中國駭客對美國網路使用的技術,可能會應用到世界各地。【記者 黃健雅整理報導】