中國伏特颱風駭客在美國關鍵基礎設施中進行了長達 5 年的秘密活動

美國政府最近披露，一個由中國政府支持的複雜駭客組織（ 名為 Volt Typhoon）成功滲透到美國和關島的關鍵基礎設施網絡，並且在長達五年的時間裡一直未被發現。 Volt Typhoon 攻擊的這些關鍵系統跨越各個領域，包括通訊、能源、交通以及水和廢水管理。

Volt Typhoon 活動的獨特之處在於其非常規方法，與典型的網路間諜活動不同。據美國當局稱，該組織的策略是有預謀地在 IT 網路中建立立足點，使他們能夠向營運技術 (OT) 資產發動攻擊， 意圖破壞基本功能。

在五眼情報聯盟國家的支持下，網路安全和基礎設施安全局（CISA）、國家安全局（NSA）和聯邦調查局（FBI）發布的聯合諮詢凸顯了局勢的嚴重性。該駭客組織又名 Bronze Silhouette、Insidious Taurus、UNC3236、Vanguard Panda 或 Voltzite，至少自 2021 年 6 月以來一直活躍。

Volt Typhoon 的作案手法涉及利用「Living Off the Land」(LotL) 等先進技術，使他們能夠透過將惡意活動與合法網路行為結合來秘密運作。此外，他們還使用 KV 殭屍網路等多跳代理來混淆攻擊的來源，從而使歸因變得困難。

網路安全公司 CrowdStrike 指出，Volt Typhoon 對特定受害者量身定制的廣泛開源工具的依賴，表現出高水準的複雜性和策略規劃。該組織精心進行偵察，根據目標環境調整戰術，並透過使用有效帳戶和強大的操作安全措施來保持持久性。

他們的主要目標之一是取得網路內的管理員憑證，利用權限升級缺陷來促進橫向移動和偵察。他們的長期策略包括維持對受感染環境的訪問，不斷改進其技術以逃避檢測並擴大未經授權的訪問。

除了被盜憑證之外，Volt Typhoon 還採用 LotL 技術來避免留下惡意軟體痕跡，從而增強其隱密性和操作安全性。他們甚至刪除目標日誌以隱藏其在受感染環境中的行為，從而使揭露其活動的工作更加複雜。

這項披露與公民實驗室關於一項名為 PAPERWALL 的廣泛影響力活動的調查結果不謀而合，該活動涉及 30 個國家/地區超過 123 個冒充當地新聞媒體的網站。這些網站與一家名為深圳海脈雲翔傳媒有限公司的北京公關公司有聯繫，傳播親中國的內容，同時在發表後刪除批評文章。

儘管中國駐華盛頓大使館否認有關虛假資訊的指控，但這些事件凸顯了人們對中國網路能力和全球範圍影響力行動日益增長的擔憂。