加拿大网路安全中心上周(6/19)警告,中国骇客组织Salt Typhoon已经对加拿大电信业者及其他产业组织发动攻击。
去年10月底加拿大资安主管机关曾连同美国网路安全暨基础架构管理署(CISA)、联邦调查局(FBI)联合发布警告,由中国政府资助的Salt Typhoon已对全球主要电信业者、关键基础设施、国防部门等进行网域名称侦察及扫描,以便发动网路间谍攻击。最新的警告则是说明已经出现受害者。
加拿大政府说已获报,加拿大电信公司遭到恶意网路攻击,凶嫌几乎确定就是Salt Typhoon。Salt Typhoon在今年2月间骇入3台加拿大电信公司的网路设备,攻击者滥用了CVE-2023-20198的软体漏洞,从这3台设备存取配置档,并且至少修改了其中一个档案,重新配置了一般路由封装(Generic Routing Encapsulation,GRE)通道,而从该业者网路搜集流量资料。
加拿大主管机关并由合作伙伴个别调查发现,这起攻击的入侵指标和Salt Typhoon有重叠处。该报告还指称,Salt Typhoon的锁定目标不只是电信业部门。骇客可能旨在对加拿大组织的网路装置下手,以便从受害者内部网路搜集资料,或利用受害者装置骇入其他组织。但加国主管机关评估,某些案例中,攻击者的活动可能仅限网路侦察活动。
加国政府警告,中国骇客组织未来二年内还会持续锁定该国业者发动间谍攻击,对象包括电信业者和其客户,呼吁其及早强化网路防御。
虽然加国网路安全中心并未指出是哪种网路设备,但CVE-2023-20198是属于思科(Cisco)设备系统的IOS XE软体漏洞。今年二月,思科发表报告,Salt Typhoon利用该漏洞攻击了美国电信业者。美国政府一月报告,至少有9家电信公司包括AT&T、Lumen、T-Mobile、Verizon遭Salt Typhoon锁定。
上周美国卫星通讯服务业者Viasat证实自己也在去年底Salt Typhoon大规模攻击中遭到骇入,但强调没有客户受影响。