中国伏特台风黑客在美国关键基础设施中进行了长达 5 年的秘密活动

美国政府最近披露，一个由中国政府支持的复杂黑客组织（ 名为 Volt Typhoon）成功渗透到美国和关岛的关键基础设施网络，并且在长达五年的时间里一直未被发现。 Volt Typhoon 攻击的这些关键系统跨越各个领域，包括通信、能源、交通以及水和废水管理。

Volt Typhoon 活动的独特之处在于其非常规方法，与典型的网络间谍活动不同。据美国当局称，该组织的策略是有预谋地在 IT 网络中建立立足点，使他们能够向运营技术 (OT) 资产发起攻击， 意图破坏基本功能。

在五眼情报联盟国家的支持下，网络安全和基础设施安全局（CISA）、国家安全局（NSA）和联邦调查局（FBI）发布的联合咨询凸显了局势的严重性。该黑客组织又名 Bronze Silhouette、Insidious Taurus、UNC3236、Vanguard Panda 或 Voltzite，至少自 2021 年 6 月以来一直活跃。

Volt Typhoon 的作案手法涉及利用“Living Off the Land”(LotL) 等先进技术，使他们能够通过将恶意活动与合法网络行为相结合来秘密运作。此外，他们还使用 KV 僵尸网络等多跳代理来混淆攻击的来源，从而使归因变得困难。

网络安全公司 CrowdStrike 指出，Volt Typhoon 对针对特定受害者量身定制的广泛开源工具的依赖，表现出高水平的复杂性和战略规划。该组织精心进行侦察，根据目标环境调整战术，并通过使用有效账户和强大的操作安全措施来保持持久性。

他们的主要目标之一是获取网络内的管理员凭据，利用权限升级缺陷来促进横向移动和侦察。他们的长期战略包括维持对受感染环境的访问，不断改进其技术以逃避检测并扩大未经授权的访问。

除了窃取凭证之外，Volt Typhoon 还采用 LotL 技术来避免留下恶意软件痕迹，从而增强其隐秘性和操作安全性。他们甚至删除目标日志以隐藏其在受感染环境中的行为，从而使揭露其活动的工作进一步复杂化。

这一披露与公民实验室关于一项名为 PAPERWALL 的广泛影响力活动的调查结果不谋而合，该活动涉及 30 个国家/地区超过 123 个冒充当地新闻媒体的网站。这些网站与一家名为深圳海脉云翔传媒有限公司的北京公关公司有联系，传播亲中国的内容，同时在发表后删除批评文章。

尽管中国驻华盛顿大使馆否认有关虚假信息的指控，但这些事件凸显了人们对中国网络能力和全球范围影响力行动日益增长的担忧。