Salt Typhoon(盐台风)被多家安全机构描述为近年来范围最广、活动最频繁的黑客行动之一,其主要目标为全球大型电话及互联网服务提供商,并大规模窃取与高级政府官员相关的通信数据。
据研究人员介绍,该组织被归因于中国,被视为一系列黑客团体的一部分,整体行动被指旨在为中国可能与台湾发生冲突做准备。美国官员此前曾将中国可能对台湾采取军事行动称为“划时代的威胁”。
研究显示,盐台风的主要作案手法是攻击企业网络边缘部署的思科(Cisco)路由器,从而取得对网络的初始访问权限,并进一步控制美国电信企业依法部署、供执法机构用于通信监控的相关设备。
安全机构指出,盐台风聚焦电信基础设施的同时,其他被归因于中国的黑客组织也在开展不同类型的网络活动。例如,Volt Typhoon被指为可能实施大范围破坏性网络攻击做准备,Flax Typhoon则被指运营由被劫持联网设备组成的僵尸网络,用于隐藏恶意网络流量。
多份公开报告称,盐台风已成为近年来最活跃的黑客组织之一,曾多次针对美国主要电话运营商发动攻击。相关入侵行动据称使中国方面得以获取部分美国高级官员的通话记录、短信内容及录音资料,其中不少官员被视为重点情报目标。
在此背景下,联邦调查局(FBI)曾呼吁美国公众更多使用端到端加密的消息应用,理由是担忧外国对手可能窃听其通信。FBI官员表示,盐台风的攻击范围远超单一国家或少数企业,至少已入侵全球约200家公司,受影响国家名单仍在扩大。
以下为目前被公开点名、与盐台风相关攻击活动有关的部分国家和地区。
美国
在美国,多家大型电信与互联网服务提供商被确认遭到盐台风入侵。
包括 AT&T 和 Verizon 在内的多家美国主要电话公司被点名为受害者,互联网服务提供商 CenturyLink(现更名为 Lumen)也被列入遭攻击名单。T-Mobile 表示曾遭遇相关攻击,但称黑客未能访问其客户的通话记录、短信或语音邮件。
卫星通信企业 Viasat 亦被披露遭到攻破,攻击者因此获得了执法机构用于访问通信内容的相关工具。互联网与数据服务提供商 Charter Communications(旗下品牌为 Spectrum)和 Windstream 也被列为受害对象。光纤网络运营商 Consolidated Communications 据报道同样在此次行动中被入侵。
盐台风的攻击目标并不限于电信与互联网企业。多份报告显示,该组织还入侵了美国某州国民警卫队网络,窃取相关数据,并借此访问其他所有州及多个属地的网络系统。
北美与南美
安全公司 Recorded Future 的研究人员表示,在北美和南美地区,盐台风针对多家机构的思科设备发起攻击。
在拉美地区,Recorded Future 指出,阿根廷和墨西哥部分高校相关的思科路由器遭到入侵。安全公司趋势科技(Trend Micro)则称,在南美人口最多的巴西也发现了盐台风的活动迹象。
加拿大政府确认,其国内部分大型电信公司遭到中国黑客入侵,并将相关行动归类为盐台风主导的间谍活动。加拿大方面还表示,一家电信巨头的多台思科路由器被攻破,相关数据遭窃取。渥太华方面警告称,攻击目标“远不止电信行业”。
亚洲、非洲与大洋洲
Recorded Future 披露,盐台风在亚洲和非洲多国的电信与教育网络中实施了攻击行动。
在亚洲,研究人员称,盐台风攻击了缅甸电信运营商 Mytel 的至少一台思科路由器,并对孟加拉国、印度尼西亚、马来西亚和泰国多所大学的路由器发起入侵尝试。日本方面也发布警示,称盐台风对其网络构成威胁。
在非洲,Recorded Future 指出,至少一家南非电信服务提供商的设备遭到攻击。
在大洋洲,澳大利亚和新西兰政府均表示,在本国电信及关键基础设施领域发现了盐台风相关活动。新西兰方面进一步称,在政府部门、交通、住宿及军事基础设施网络中均发现与盐台风有关的黑客行为。
趋势科技的研究还显示,在阿富汗、斯威士兰、印度、台湾和菲律宾等多个国家和地区,盐台风入侵了电信、咨询、化工和交通等行业的至少 20 家组织,以及部分政府机构和非营利组织。
欧洲
在欧洲,多国政府和网络安全机构先后通报了与盐台风相关的安全事件。
英国政府确认,在全国范围内发现了盐台风的“集群活动”。尽管官方尚未披露具体技术细节,但多家媒体报道称,英国部分高级政府人员的通话记录和短信可能遭到窃听。
挪威方面也证实,国内多家组织成为盐台风攻击目标。
荷兰当局表示,多家规模较小的互联网服务提供商和网站托管企业遭到入侵,攻击者访问了其路由器设备,但尚无证据显示其内部网络被进一步攻破。
Recorded Future 的报告称,一家意大利互联网服务提供商被盐台风成功入侵。捷克网络安全官员则表示,在芬兰和波兰也发现了与盐台风相关的黑客事件。
目前,多国政府与安全机构仍在对相关攻击活动进行调查和溯源,受影响企业和机构的具体损失情况尚未完全披露。
