近年来,随着网络基础设施的复杂性不断提升,边缘网络设备的安全性问题逐渐成为全球网络安全领域关注的焦点。盐台风这一中国关联的高级持续威胁组织,利用边缘路由器和各种网络设备中的漏洞,展开了针对全球600多家机构的持续攻击行动,其目标涵盖电信、政府、军事、交通和住宿等多个关键行业。盐台风的攻击不仅揭示了关键网络设备存在的严重安全漏洞,也暴露出多国网络安全防御体系的脆弱性。 盐台风自2019年以来持续活跃,其攻击手段表现出极强的专业性和隐蔽性。据美国联邦调查局网络部负责人Brett Leatherman介绍,该组织针对全球电信网络展开了长时间的间谍活动,旨在破坏全球通信隐私和安全规范。其背后与三家中国实体——四川聚信和网络科技有限公司、北京环宇天穹信息技术有限公司以及四川知信锐捷网络科技有限公司相关联,这些企业向中国情报机关提供网络产品和服务,支持情报搜集和全球通信监控。
盐台风的主要入侵向量集中于供应商边缘和客户边缘设备,包括大型骨干路由器和相关网络基础设施。关键设备品牌如Cisco、Ivanti和Palo Alto Networks的多个已知漏洞成为攻击切入口,例如Cisco的CVE-2018-0171、CVE-2023-20198和CVE-2023-20273,Ivanti的CVE-2023-46805和CVE-2024-21887,以及Palo Alto Networks最新披露的CVE-2024-3400等。这些漏洞允许攻击者远程执行代码、绕过权限限制甚至植入持久化后门。 值得注意的是,安全机构强调受影响设备远不止上述厂商,还包括Fortinet、Juniper以及诺基亚路由器和交换机,甚至微软Exchange服务器和Sierra Wireless、Sonicwall防火墙也未能幸免。这表明攻击范围极为广泛,攻击者足以利用任意拥有外网接口但安全防护不足的边缘设备作为跳板,进而渗透目标网络。 盐台风在成功入侵设备后,常通过修改设备配置、在Cisco设备上设置通用路由封装(GRE)通道,实现长期且隐秘的访问。
同时,他们还会调整访问控制列表(ACL),添加可控IP地址,开放非标准端口,利用内置的Linux集装箱环境执行本地工具和脚本,以实现横向移动和数据窃取。利用终端访问控制系统增强(TACACS+)认证协议抓取关键管理账号的流量,是攻击者深化系统控制的重要手段之一。 多个国家的安全机构联合发布的安全公告中指出,盐台风利用原生网络工具抓取PCAP数据包,尤其是针对TCP 49端口上的TACACS+认证流量,获取管理员及网络设备高权限账户信息,进一步扩大攻击范围。攻击者还会在Cisco IOS XR设备上开启sshd_operns服务,通过TCP端口57722登录并创建具备sudo权限的本地账户,从而获得设备根级权限,极大提升了操作灵活性和隐蔽性。 从攻击目标分布看,盐台风主要锁定电信运营商及互联网服务提供商网络核心,同时向交通运输、政府、住宿及军事基础设施行业扩展,尤其在美国和英国活动频繁。据报道,美国有200余家机构遭受直接攻击,全球涉及地区多达80个国家,这一规模前所未有。
荷兰情报机构则表示,尽管本国大型机构未遭重度攻击,但小型ISP和托管服务商的路由设备已被渗透,但暂无证据显示攻击进一步深入这些网络。 盐台风与多个威胁集群相关联,包括GhostEmperor、Operator Panda、RedMike以及UNC5807。Google旗下Mandiant和GTIG等威胁情报组织通过对比分析指出,UNC5807与UNC2286虽偶有混淆,但实为不同组织,前者聚焦网络间谍活动,采用有限工具及精准战术,后者则偏向金融勒索和敲诈攻击,拥有更多样化恶意工具组合。 中国网络间谍活动的生态系统表现为承包商、学术机构及其他支持者的复杂协作。承包商不仅开发攻击工具,也负责执行入侵任务,这种模式使得攻击行动规模和效率大幅提升,成为全球网络安全防御面临的重大挑战。针对盐台风此次针对电信、交通和住宿领域的行动,专家警告,攻击者可通过窃取交通定位、联系人信息及通话内容,精准监控个人行踪和行为,极大威胁个人隐私和国家安全。
面对盐台风的持续威胁,多国安全机构建议网络运营商加强边缘设备安全防护,包括及时打补丁、关闭不必要的远程管理接口、强化访问验证、监测异常流量及配置变更。同时,推荐采用零信任架构,强化网络分段和多因素认证,提升事件响应速度和安全事件可见性。企业应定期开展安全评估和渗透测试,提升对APT攻击的防御能力。 此外,加强国际情报共享和跨国合作同样关键。此次由13国联合发布的安全通告就是多国协同应对跨国网络威胁的典范。通过共享漏洞信息、攻击指标和应急措施,形成联防联控机制,有效减少攻击面的锁定和漏洞长期存在的风险。
综合以上情况,盐台风事件凸显了边缘网络设备安全的重要性及当前漏洞修补的紧迫性。随着全球数字基础设施日益互联,任何单一设备的安全缺口都有可能被跨国APT利用,带来深远安全影响。网络运营商、设备厂商及政府机构必须通力合作,强化安全投入和技术防护,构筑坚实的信息安全堡垒。 未来,随着5G、物联网以及云计算等新兴技术的发展,边缘网络设备的复杂度将进一步增加,潜在威胁也将更加多样化和难以检测。针对类似盐台风这样的高级持续威胁,防御策略不仅要覆盖技术层面,更需提升组织韧性和人员安全意识,推动安全态势感知和智能化防御体系建设。 在激烈的网络攻防博弈中,唯有建立多层次、多维度的安全防线,才能最大限度保护关键基础设施安全,保障国家和企业的信息资产不受侵犯。
盐台风的案例是警钟,也是提醒,网络安全无法一劳永逸,唯有不断创新与协作,方能立于不败之地。
