【电信业屡遭国家级骇客锁定】美国多家电信业遭骇成2024最大网路间谍事故

针对中国骇客渗透多家美国电信业一事,美国FBI与CISA2024年11月13日证实了这项消息,指出对方窃取了用户的通话记录,侵入政治相关人士的私密通讯,并复制法院命令要求的执法资料。他们同时说明这起案情仍在持续调查中,并也鼓励其他遭受此次威胁的受害者向他们通报。

国家级骇客网路间谍攻击带来的危害,不只是资安业者频频揭露最新攻击活动,公布窃取国家情报、商业机密的手法,近年国家级网路安全机构也经常发布资安公告,对国家关键基础设施或企业示警,将攻击渗透方式与威胁态势公诸于世,目的是让企业组织与公众能了解事情的严重性,因为这类网路间谍活动不亚于网路诈骗、资讯作战,在众人不知不觉的时候,就已经对国家带来重大危害。

最近,全球一起网路间谍攻击事件的揭露备受瞩目,而且苦主是身为关键基础设施之一的电信产业,但影响的更是政府人士与全体国民的日常通讯。

2024年底,美国至少9家电信业遭中国骇客Salt Typhoon成功入侵,至今仍在持续调查,引发全球的高度重视,因为民众使用的通讯软体App都可能因为电信业遭骇事故,相关沟通的内容会被送往敌对国家的专业骇客进行窃听。

事实上,电信业早已是国家级骇客的攻击目标,已有许多资安业者揪出潜藏的攻击活动,发布研究报告让外界能有所警觉。但这次网路间谍事件在美国政府公开证实之下,受到更广泛的关注。

而且,对此事件示警的不只有美国政府,还有加拿大、澳洲、纽西兰,在这些国家网路安全局发布的联合警告中,他们公布应对这次事件的电信业防护指引,并指出受中国政府支持的骇客组织,入侵了全球主要电信业者的网路,已是一场广泛而重大的网路间谍活动。

究竟国家级骇客攻击电信业的情形如何?2025年有那些攻击态势值得我们关注?我们找到对这方面相当熟悉的两家资安业者,分别是趋势科技与TeamT5,一同探讨最新发展。

美电信业遭国家级网路间谍渗透,至今3个月仍在调查

2024年10月,媒体首次曝光中国骇客组织「Salt Typhoon」入侵美国电信业的消息。《华尔街日报》当时引述消息来源,率先揭露包括 AT&T、Verizon 与 Lumen 在内的多家电信业者遭到骇客攻击,并提及可能是政府经法院授权向ISP业者请求资料的系统,遭到骇客未经授权存取。

11月13日,美国政府证实电信业遭骇客渗透一事,联邦调查局(FBI)与网路安全暨基础设施安全局(CISA)发布联合声明,公布初步调查状况,指出实际影响是:用户通讯记录资料,有特定人士通讯内容遭窃取,以及依据美国法院命令提交的执法请求的资讯被复制。

到了12月4日,也就是距今一个多月前,多家媒体报导白宫副国家安全顾问Anne Neuberger公开调查最新进展,当中揭露至少有8家美国主要电信商遭骇,且骇客仍持续潜伏于受害系统中。后续又传出有第9家电信业者受害,显示事件规模仍可能扩大。

电信业遭骇问题严重,通讯软体传输的内容若无全程加密也会被窥探

尽管事故调查结果尚未全面公布,之后才能真正确认问题环节,不过,由于美国CISA已针对此次事件,在12月18日公布行动通讯最佳实作指引,我们从中可窥见本次事件的严重性。

例如,CISA对此提出的第一项建议是:「用户应使用具全程加密(E2EE)功能的通讯软体,如Signal」。

从这项建议来看,意味著本次骇客攻击电信业的事件,不只是一般人熟知的电话与简讯遭窃听的危害,就连民众日常使用的即时通讯软体,若没有经过全程加密保护讯息传输,也是会被国家级骇客监控。

事实上,过去资安界早已强调E2EE的重要性,但普遍民众可能没那么在意,但这次CISA的警告,显现出缺乏E2EE保护的通讯软体,也会因为中国骇客渗透电信业的网路间谍活动而影响。

此外,或许有些民众认为,使用VPN网路可以防范,但VPN其实有很多种,CISA在此就建议:公司提供的VPN可以使用,但「请勿使用个人VPN网路」,CISA认为用个人VPN的作法只是将风险转移,也就是从网路服务供应商转移到VPN服务供应商,并无法解决问题,还可能增加攻击面;而免费或商业VPN服务其安全性与隐私政策,也令人存疑。

CISA另一项建议是:「不要使用简讯OTP这种低安全性的MFA」,此举可能意味电信简讯伺服器也遭骇客渗透。事实上,CISA从2016年就强调简讯OTP不安全,无法抵挡SS7协定的漏洞攻击,也无法抵抗网路钓鱼,所以CISA还建议:「启用FIDO以避免网路钓鱼」。

对于国家级骇客入侵电信业的风险,CISA还有几项建议,包括:设定电信PIN码与MFA,定期更新软体,以及从手机制造商取得新版韧体。这也呼应了先前我们列举的国家级骇客攻击手法,经常利用已知漏洞、针对未修补的用户入侵,因此CISA呼吁用户需重视手机与系统的更新修补,才能共同应对中国骇客锁定电信业的网路间谍攻击。

趋势科技稍早也揭露东南亚电信业遭骇,研判都是同一骇客群体所为

更广泛来看,这次美国多家电信业遭入侵,并非唯一的事件,因为多年来,电信业一直是国家级骇客窥伺的目标。

关于国家级骇客锁定电信业的情况,在2024年11月25日,趋势科技4位威胁研究人员共同发布一份调查报告,揭露中国骇客组织Earth Estries的最新活动,当中就有指出,东南亚电信业者遭受攻击的情形。

值得我们注意的是,趋势科技所追踪的这个中国骇客Earth Estries,与Salt Typhoon有相当大程度的关联。

对此,趋势科技威胁研究团队向我们进一步说明,他们表示,这是因为在微软对于中国骇客Salt Typhoon的研究中,已将其他资安业者命名的GhostEmperor和FamousSparrow这两个骇客组织,纳入Salt Typhoon骇客组织。

同时,趋势科技也发现这些组织之间的关联性。例如,趋势科技追踪的中国骇客组织Earth Estries,使用了DEMODEX rootkit程式来隐匿踪迹,而从先前其他资安业者公开的报告来看,在GhostEmperor与FamousSparrow的攻击行动中,同样使用DEMODEX。不仅如此,Earth Estries攻击时使用的战术、技术与流程(TTP),也与这两个组织有高程度的重叠。

从上述种种迹象来看,虽然趋势科技无法完全确认这4个组织是百分百相同,因为可能一个骇客群体中有不同的团队,又或是一个团队中有不同的人员,但从攻击工具手法的彼此共用情形来看,研究人员认为,这些群体很可能就是同一群人,或是存在高度关联。

趋势科技表示,以他们追踪的Earth Estries(编按:又称GhostEmperor、FamousSparrow、Salt Typhoon)而言,其实自2020年以来就相当活跃,一直针对政府与网路服务商发动攻击,到了2022年,又开始锁定政府与电信业者,因此已有攻击电信业前例。根据他们的研究,大多数受害者已经遭骇多年,才发现被入侵的事实。

前阵子,他们调查一起东南亚电信业者的资安事故,也是Earth Esties所为。

当时该组织的手法,主要从受害者对外公开的边缘装置,并利用一些已知漏洞入侵,包括远端存取边缘装置的漏洞,如Ivanti的漏洞CVE-2023-46805、CVE-2024-21887,Fortinet的漏洞CVE-2023-48788,Sophos的漏洞CVE-2022-3236漏洞,以及邮件边缘装置的漏洞,如ProxyLogon,只要电信业者使用这些产品却未修补漏洞,攻击者就能趁虚而入,这都是中国骇客擅长的入侵方式。

TeamT5揭电信业长年受到网攻,中国骇客TeleBoyi就经常这么做

对于国家级骇客持续锁定电信业的情形,杜浦数位安全(TeamT5)技术长李庭阁也提供了他们的观察。

李庭阁指出,电信产业一直是国家级骇客的主要攻击目标。例如,5年前资安业者Mandiant揭露,中国骇客组织APT41骇入香港电信商的简讯伺服器,就是一例。

以TeamT5自身经验为例,他们多年来持续追踪这些国家级骇客,在每年统计之中,电信业一直位列受害目标排行榜中,是被锁定的主要目标产业。因此,对于这次中国骇客Salt Typhoon入侵美国电信业,他们并不意外。

近期,他们在2024年初于日本JPCERT/CC举办的活动上,也曾揭露中国骇客组织TeleBoyi,并表明这个团体专门锁定关键基础设施进行攻击,而且经常攻击电信产业。

李庭阁表示,TeleBoyi的目标遍及全球许多国家,最早至少从2015年开始活动,首先攻击的目标是台湾,这也是TeamT5对此组织活动一开始揭露最多的原因。

特别的是,李庭阁还提到一个小故事,早年他们在调查TeleBoyi时,发现该组织使用的PlugX恶意程式,在与骇客端连线过程中时使用的密码,是一串符号「&&%*%@!」,其输入方式为按住Shift键,敲打键盘上的7758521,而这个谐音是中国当地惯用语,泛指「亲亲我吧我爱你」。

这个骇客组织不只针对台湾,在2015年到2018年期间,TeleBoyi还经常锁定东南亚、中东电信业攻击,目标包括巴基斯坦、土耳其、泰国、印度、阿富汗,之后锁定的国家与产业越来越广,涵盖欧美地区,并也攻击能源、资讯与半导体产业,因此他们推断,TeleBoyi对智慧财产窃取也有很高的兴趣。

而且,该组织的攻击手法也在持续转变,例如,早期多以网钓攻击手法入侵,2024年明显转向利用边界设备漏洞,如防火墙及VPN漏洞,进行渗透,而在攻击工具使用方面,TELEBOY与APT41之间存在显著重叠,因此TeamT5研究人员怀疑,APT41可能充当TELEBOY的「武器供应商」。这种国家级骇客组织之间的合作模式,进一步使得攻击规模与效率大幅提升。

从多起事件调查与攻击手法研究来看,李庭阁表示,TeleBoyi与APT41、Earth Berberoka、SLIME40有紧密的关连。此外,TeamT5也确实观察到,过去中国国家级骇客组织的行动是相对独立,但2024出现更多合作的迹象。

电信业被锁定国家级骇客锁定的状况,在2024年明显大增

至于台湾电信业是否遭骇的状况,国内企业与民众也相当关注,在2025年1月,台湾国安局发布的中共网骇手法分析报告,也呈现这方面的严重性。

从中共骇客攻击目标来看,国安局指出,我国通讯传播领域的状况最为严重,遭受攻击较2023年度增加650%,在所有产业中增幅最大。紧随其后的是交通与国防供应链,对照2023年度的增长比例各为70%、57%。

综观上述各项消息,突显国家级骇客锁定电信业的情况,已经持续多年,并在2024年呈现爆发的态势,不只许多国家面临这样的威胁态势,我国8大关键基础设施中的通讯传播领域,同样也正面临著极大考验。

 因应电信业遭骇,美CISA提出行动通讯8大防护重点 

1. 仅使用具E2EE加密的通讯软体

2. 启用基于FIDO标准的抗网钓MFA

3. 请远离基于SMS的MFA

4. 使用密码管理工具

5. 设定电信PIN码

6. 定期更新软体

7. 从手机制造商取得最新韧体版本

8. 不要使用个人VPN服务

资料来源:美国CISA,iThome整理,2025年1月