關閉選單
  1. Home
  2. NEWS最新消息
  3. 訊息與報導
  4. 資訊安全
顯示分類
2025.08.29
訊息與報導/資訊安全
中國APT組織持續攻擊關鍵基礎設施和電信網路
一、報導摘要

近期,一個由美國、澳洲、加拿大、紐西蘭、英國等多個國家的頂尖資安與情報機構所組成的聯盟,共同發布了一份重量級的資安警報。這份報告揭露了一場由中國政府支持的駭客組織(即APT,進階持續性威脅組織)所發動的大規模、且持續多年的網路攻擊行動。這場攻擊的目標並非單純的金融竊盜或數據外洩,而是更具戰略意圖,鎖定全球範圍內的關鍵基礎設施與電信網路。駭客的最終目的是在這些重要網路中取得並維持長期的存取權限,以便進行後續的情報竊取、通訊監控,甚至是發動更具破壞性的攻擊。

報告中指出,這場行動至少從2021年就已經開始,且至今仍在持續。駭客的手法不僅高明,且具備高度的耐心與持久性。他們利用路由器中已知的資安漏洞,並結合多種規避與隱藏技術,成功地在目標網路中建立「後門」並長期潛伏。受影響的產業範圍甚廣,涵蓋了電信、交通、住宿以及軍事等重要領域。這份警報不僅是技術層面的分析,更是一場國際性的呼籲,敦促所有網路防禦者必須採取主動措施,在駭客發動破壞性攻擊前,徹底根除這些潛伏的威脅。


二、攻擊的戰略意圖與目標

這場由中國國家級駭客組織發動的攻擊,其戰略意圖遠超一般網路犯罪。其主要目標並非直接的財務收益,而是為中國政府的情報機構提供長期的戰略優勢。

  • 情報竊取與監控: 駭客在電信網路中建立的長期存取權,允許他們監控來自全球各地的通訊與資料流。這包括敏感的政府通訊、軍事情報、企業商業機密以及個人通話紀錄等。這種大規模、持續性的監控能力,能夠為中國政府提供極其寶貴的情報,以支持其地緣政治和經濟戰略。

  • 為未來破壞行動鋪路: 在關鍵基礎設施網路中潛伏的駭客,不僅能進行偵察,更能在未來需要時,發動破壞性或干擾性的攻擊。例如,他們可以在不被發現的情況下,植入惡意程式碼,一旦有需要,就可以遠端觸發,癱瘓電力、交通或通訊系統,從而對目標國家造成嚴重的經濟與社會影響。

  • 掌握全球戰略制高點: 透過對電信和交通網路的控制,中國政府可以有效地掌握數位世界的戰略制高點。這種控制能力在未來可能被用於資訊戰、網路宣傳或更廣泛的全球影響力行動。

報告也具體點名了幾家位於中國的實體,如「四川聚信和網絡科技有限公司」和「北京環宇天穹信息技術有限公司」。這些公司被指控為中國情報部門提供網路相關的服務,這凸顯了中國政府在發展其網路攻擊能力時,利用私人企業作為代理人的模式。


三、駭客的技術手法與戰術細節

這場攻擊的技術手法並非依賴未知的零日漏洞,而是巧妙地利用了路由器中已知的、但經常被忽視的資安漏洞。這種策略的優勢在於成本低廉、成功率高,且難以被一般的安全防護措施所發現。

報告詳細列舉了駭客所使用的多項戰術:

  • 利用已知漏洞: 駭客主要利用了路由器與網路設備中已經被公開披露且有修補程式的漏洞。許多組織因為疏於更新或管理不善,導致這些漏洞長期存在,為駭客提供了輕鬆的入侵途徑。

  • 修改存取控制列表(ACL): 一旦駭客成功入侵路由器,他們的第一步就是修改其存取控制列表。他們會移除對特定IP位址的限制,並允許未經授權的連線,從而為未來的遠端存取打開方便之門。

  • 開啟非標準連接埠: 為了隱藏其活動,駭客會在路由器上開啟非標準的連接埠,而不是使用常見的SSH或Telnet連接埠。這使得資安防護人員難以透過常規的網路流量監控來發現異常。

  • 利用路由器原生功能進行數據外洩: 駭客會利用路由器內建的功能,如遠端日誌記錄或數據轉發,將竊取來的資料轉發到他們控制的伺服器。這種手法讓他們能有效地將資料從目標網路中傳輸出去,同時避免觸發傳統的數據外洩警報。

  • 規避偵測的持久性機制: 駭客植入的惡意程式碼具備高度的規避能力,能夠在路由器重新啟動後再次啟動,從而確保長期的存取權限。他們還會使用加密通訊來隱藏其與外部控制伺服器之間的數據傳輸,使得流量分析變得更加困難。

這些技術手法的組合,使得駭客能夠在目標網路中像「幽靈」一樣存在,並在不被發現的情況下長期進行情報竊取。


四、對受影響產業的潛在影響

這場攻擊所針對的產業,其潛在影響是災難性的。

  • 電信業: 電信網路是所有現代通訊的基礎。駭客對其的控制,不僅能竊取用戶個資與通訊內容,更能在需要時發動大規模的網路中斷,癱瘓社會運作。

  • 交通業: 交通系統,如機場、鐵路和港口,其運作高度依賴網路。駭客對這些系統的入侵,可能導致嚴重的交通混亂,甚至引發安全事故。

  • 軍事與政府部門: 軍事與政府網路的滲透,可能導致國家機密外洩、指揮系統混亂,從而對國家安全構成直接威脅。

  • 住宿與其他服務業: 即使是看似無關緊要的住宿業,其網路也可能成為駭客入侵的跳板。駭客可以利用這些網路作為中間站,對其他高價值目標發動攻擊,或是竊取客戶的信用卡、身分資訊等。

這份報告提醒我們,當前全球的網路安全環境已進入一個新的階段。攻擊者不再滿足於傳統的竊盜,而是轉向對關鍵基礎設施的長期控制,這使得防禦工作變得更具挑戰性。


五、國際資安機構的聯合呼籲與防禦建議

面對如此嚴峻的威脅,參與發布這份警報的各國資安與情報機構,向全球的網路防禦者發出了聯合呼籲,並提供了具體的防禦建議。

  • 主動偵測與威脅獵捕: 網路防禦者不應被動地等待警報響起。報告敦促他們必須主動地在網路中「獵捕」惡意活動的跡象,檢查異常的流量模式、未知的網路連線以及不尋常的檔案活動。

  • 立即應用所有修補程式: 由於駭客主要利用已知的漏洞,所有企業都應立即對其路由器、防火牆、伺服器以及所有網路設備應用最新的資安修補程式。這是一項最基本,但也是最有效的防禦措施。

  • 強化網路分割與存取控制: 企業應重新審視其網路架構,實施更嚴格的網路分割(network segmentation),並在所有網路節點上實施最小權限原則。這可以限制駭客在成功入侵一個系統後,能進行的橫向移動範圍。

  • 監控日誌與異常行為: 必須確保所有網路設備和資安系統的日誌都能被即時監控和分析。任何不尋常的連線、登入嘗試或數據傳輸,都應被視為潛在的威脅並立即進行調查。

  • 制定與演練事件應變計畫: 企業必須制定詳細的資安事件應變計畫,並定期進行演練。這項計畫應包含如何有效地驅逐入侵者、修復受損系統以及在短時間內恢復營運。報告特別強調,驅逐惡意程式碼和駭客需要細心規劃,以確保他們無法再次潛伏。

這場由多國資安機構聯合發布的警報,不僅是對中國駭客威脅的公開揭露,更是一次國際社會在共同資安挑戰面前的協同合作。它提醒我們,在全球互聯的時代,沒有任何一個國家或企業能夠獨善其身。唯有透過共同合作、分享情報並持續提升防禦能力,我們才能有效地應對來自國家級駭客組織的威脅,確保關鍵基礎設施與網路的安全與穩定。


資料來源:https://industrialcyber.co/news/chinese-apts-running-persistent-campaign-target-critical-infrastructure-telecom-networks/
一份由全球多國資安機構聯合發布的警報揭露,中國國家級駭客組織正在對全球關鍵基礎設施與電信網路進行一場長期且持續的網路攻擊行動。