【中美角力】Microsoft揪出國家級黑客 Volt Typhoon搶先入侵美基建設施
中美關係持續惡化,除了在政治、經濟上角力,在科技及網絡攻擊方面也鬥得難分難解。Microsoft研究團隊最近發表的報告,便是涉及一個由中國政府支持的黑客組織發動的網絡攻擊活動,這個代號為 Volt Typhoon 的黑客組織自 2021 年便針對美國及關島的重要基建設施發動攻擊,相信是為未來有可能發生的軍事危機作出超前部署。
現代戰爭早已不再是比併軍備及戰力,網絡攻擊也被視為非常有效的戰術之一。
早前 Google 在台灣舉行的資安大會上,威脅分析小組資深總監 Shane Huntley 便以俄羅斯及烏克蘭之戰為例,指出由俄羅斯政府支持的網絡黑客集團在戰爭中的重要性,例如他們在戰爭爆發前夕已大幅加強對烏克蘭的網絡攻擊,並且針對性破壞鐵路及其他關鍵基礎設施,企圖令市民對政府失去信心,並且向提供軍援的北約盟國發動攻擊。雖然這些攻擊未能助俄羅斯取得決定性的成果,但仍然被視為戰爭中重要的戰力。
而在這次 Microsoft 追蹤的 Volt Typhoon 黑客組織,在 2021 年中以來便一直針對美國重要基建設施進行攻擊,他們的目標涉及政府、海事、通訊、製造業、訊息技術、公用事業、交通、建築和教育,非常廣泛。
專家指黑客首先利用曝露於網絡上的Fortinet FortiGuard設備的零日漏洞入侵上述機構,然後再使用近年非常流行的「living-off-the-land」攻擊,即電腦設備上可使用的執行程序,一來可減少惡意軟件編碼被偵測的風險,二來亦可令執行程序變得可信,再配合手動執行 PowerShell、Certutil、Netsh 和 Windows Management Instrumentation Command-line 等指令,成功在目標機構的內部網絡建立立足點。
根據由五眼聯盟聯合發表的警告可見,黑客集團還使用許多開源工具,如快速反向代理、Mimikatz 憑證盜取工具和 Impacket 網絡框架,去盜取目標機構的重要資料,集團同時利用一批受感染的 ASUS、Cisco、Netgear 等網絡設備進行攻擊,令網絡傳輸數據變得更可信。
專家指出,入侵美國關鍵基礎設施的行為並不一定有即時破壞力,因為對方的目標除了刺探軍情,還與超前部署有關,因為一旦中美衝突擦槍走火,屆時便可能要即時破壞或癱瘓美方的基建設施,阻慢美方的軍事動員力及反應,如等待衝突爆發便會太遲。
微軟表示,按照其應對國家級行動的標準程序,已主動聯繫所有被攻擊或受到侵害的客戶,向他們提供未來遭受網絡攻擊的保障及所需訊息。而受害組織應可觀察到從不尋常 IP 位址登入的帳戶,如有發現應該變更所有可疑帳戶的憑證,建議實施多重因素驗證政策或使用硬體安全金鑰,減少帳戶被入侵的風險。預先制定各種回應政策,也可協助受害機構及時作出反應。
相關文章:【防不勝防】交易工具暗藏北韓木馬程式 供應鏈攻擊效率驚人