鹽颱風
成立時間 | 2020 |
---|---|
類型 | 高級長期威脅 |
隸屬 | 中華人民共和國政府(指控) |
目標 | 網絡戰 |
鹽颱風[1](英語:Salt Typhoon,別名:GhostEmperor[2]、FamousSparrow[2]或UNC2286[2])是一個美國政府、媒體及有關互聯網公司指控其為受中國政府所支持的高級長期威脅組織,專門針對北美和東南亞目標進行網絡間諜活動。自2020年起,美方指控該組織積極從事數據竊取活動,尤其擅長截取網絡流量。前美國國家安全局分析師特里·鄧拉普(Terry Dunlap)聲稱該組織是「中國百年計劃的一部分」[3]。按照美國前網絡安全和基礎設施安全局主任克里斯托弗·克雷布斯的說法,該組織可能隸屬於中華人民共和國國家安全部[4]。中國駐美國大使館曾就有關指控進行過否認。
名字由來
攻擊方法
據報道,鹽颱風採用了一種名為Demodex(由卡巴斯基實驗室命名[7] )的Windows NT體系結構Rootkit,以遠程控制目標伺服器[8][2]。其展現出複雜的技術水平,通過反取證和反分析的手段來規避檢測[2]。
目標
ESET表示,除了美國互聯網服務提供商外,鹽颱風此前還曾入侵過世界各地的酒店和政府機構[5]。
知名事件
2024年9月美國互聯網服務提供商網絡遭入侵事件
2024年9月,《華爾街日報》的報道稱:「鹽颱風在『最近幾個月』入侵了美國的寬帶網絡,尤其是核心網絡組件,包括傳輸大量互聯網數據的思科路由器。」
2024年10月美國ISP竊聽系統遭入侵事件
2024年10月,鹽颱風被發現入侵了美國互聯網服務提供商的後門(這些後門被執法機構用於進行法院授權的竊聽)[9]。受影響的服務商包括AT&T、Verizon和Lumen Technologies。對此,中國駐美國大使館否認了這些指控[9]。
「有跡象表明,中國的對外情報機構——長期以美國為情報目標的國家安全部——可能參與了此次入侵。中國國家安全部內部官員稱,此次入侵是由中國國家安全部下屬的一個部門「鹽颱風」實施的,這個綽號是微軟監控中國黑客活動時為該組織起的」 -《華盛頓郵報》[10]
參見
參考
- ^ 美国官员加紧了解中国相关“盐台风”黑客攻击的严重性. 華爾街日報 (cn).
- ^ 2.0 2.1 2.2 2.3 2.4 Malpedia: GhostEmperor. Fraunhofer Society. [2024-10-08].
- ^ Lyons, Jessica. China's Salt Typhoon cyber spies are deep inside US ISPs. The Register. 2024-09-25.
- ^ Krouse, Sarah; McMillan, Robert; Volz, Dustin. China-Linked Hackers Breach U.S. Internet Providers in New 'Salt Typhoon' Cyberattack. The Wall Street Journal. 2024-09-26. (原始內容存檔於7 Oct 2024).
- ^ 5.0 5.1 5.2 5.3 Kovacs, Eduard. China's Salt Typhoon Hacked AT&T, Verizon: Report. Security Week. 2024-10-07.
- ^ AT&T, Verizon reportedly hacked to target US govt wiretapping platform. BleepingComputer. [8 October 2024] (美國英語).
- ^ GhostEmperor: From ProxyLogon to kernel mode. securelist.com. 30 September 2021 [8 October 2024].
- ^ GhostEmperor returns with updated Demodex rootkit (PDF). www.imda.gov.sg - Infocomm Media Development Authority. [8 October 2024].
- ^ 9.0 9.1 Krouse, Sarah; Volz, Dustin; Viswanatha, Aruna; McMillan, Robert. U.S. Wiretap Systems Targeted in China-Linked Hack. The Wall Street Journal. 2024-10-05. (原始內容存檔於5 Oct 2024).
- ^ Nakashima, Ellen. China hacked major U.S. telecom firms in apparent counterspy operation. The Washington Post. 6 October 2024 [8 October 2024].