美国网络安全与基础设施安全局(CISA)联合多国情报与网安机构发布最高级别预警:中共国家支持黑客自2021年来系统性攻陷全球网络,服务于“全球化间谍体系”
Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System
发布日期:2025年8月27日
执行摘要
中华人民共和国(PRC)国家支持的网络威胁行为体正以全球为目标,涵盖但不限于电信、政府、交通运输、住宿业以及军事基础设施等网络。尽管这些行为体重点针对大型电信运营商的骨干路由器,以及运营商边缘(PE)和客户边缘(CE)路由器,它们也会借助已被攻陷的设备与可信连接横向进入其它网络。这些行为体常常修改路由器,以维持对网络的持久、长期访问。
此类活动与网络安全行业先前报道的若干行为体部分重叠——常见称谓包括 盐台风(Salt Typhoon)、OPERATOR PANDA、RedMike、UNC5807、GhostEmperor 等。为避免采纳某一特定厂商/商业命名,本文将更为概括地把实施这些活动的行为体统称为“高级持续性威胁(APT)行为体”。目前在美国、澳大利亚、加拿大、新西兰、英国以及全球其他地区均已观察到这类威胁活动。
本《网络安全通告》(CSA)汇集了多起政府与行业调查中的观察结果,显示这些 APT 行为体既针对内部企业环境,也针对直接向客户提供服务的系统与网络。本文详细说明了这些 APT 行为体所使用的战术、技术与程序(TTPs),以便开展检测与威胁狩猎,并提供相应的缓解指导,以降低其带来的风险。
本 CSA 由以下起草与联合签署机构发布:
- 美国国家安全局(NSA)
- 美国网络安全与基础设施安全局(CISA)
- 美国联邦调查局(FBI)
- 美国国防部网络犯罪中心(DC3)
- 澳大利亚信号局(ASD)旗下澳大利亚网络安全中心(ACSC)
- 加拿大网络安全中心(Cyber Centre)
- 加拿大安全情报局(CSIS)
- 新西兰国家网络安全中心(NCSC-NZ)
- 英国国家网络安全中心(NCSC-UK)
- 捷克国家网络与信息安全局(NÚKIB,捷克语:Národní úřad pro kybernetickou a informační bezpečnost)
- 芬兰安全情报局(SUPO,芬兰语:Suojelupoliisi)
- 德国联邦情报局(BND,德语:Bundesnachrichtendienst)
- 德国联邦宪法保卫局(BfV,德语:Bundesamt für Verfassungsschutz)
- 德国联邦信息安全局(BSI,德语:Bundesamt für Sicherheit in der Informationstechnik)
- 意大利对外情报与安全局(AISE,意大利语:Agenzia Informazioni e Sicurezza Esterna)
- 意大利对内情报与安全局(AISI,意大利语:Agenzia Informazioni e Sicurezza Interna)
- 日本国家网络统括室(NCO,日语:国家サイバー統括室)
- 日本警察厅(NPA,日语:警察庁)
- 荷兰军事情报与安全局(MIVD,荷兰语:Militaire Inlichtingen- en Veiligheidsdienst)
- 荷兰总情报与安全局(AIVD,荷兰语:Algemene Inlichtingen- en Veiligheidsdienst)
- 波兰军事反间谍局(SKW,波兰语:Służba Kontrwywiadu Wojskowego)
- 波兰对外情报局(AW,波兰语:Agencja Wywiadu)
- 西班牙国家情报中心(CNI,西班牙语:Centro Nacional de Inteligencia)
起草机构强烈敦促各网络防御团队主动开展恶意活动狩猎,并落实本 CSA 所列各项缓解措施,以降低来自中国国家支持及其它恶意网络活动的威胁。
文中所列的任何缓解或清除(驱离)措施,可能会随着新信息的出现以及持续协调的行动需要而调整。网络防御人员在依据本 CSA 采取行动时,应确保符合其所在法域的当地法律与监管要求。
背景
自最迟于 2021 年起,这些 APT 行为体一直在全球实施恶意行动。相关行动已被关联至多家位于中国境内的实体,至少包括四川聚信和网络科技有限公司(Sichuan Juxinhe Network Technology Co. Ltd.)、北京寰宇天穹信息技术有限公司(Beijing Huanyu Tianqiong Information Technology Co., Ltd.)以及四川智信锐捷网络科技有限公司(Sichuan Zhixin Ruijie Network Technology Co., Ltd.)。这些公司为中国情报机构提供与网络相关的产品与服务,涵盖中国人民解放军的多个单位以及国家安全部。针对境外电信与互联网服务提供商(ISP)的数据窃取行动,以及对住宿业与交通运输业的入侵,最终可使中国情报机构具备在全球范围内识别并跟踪其目标通信与行踪的能力。
美国网络安全与基础设施安全局(CISA)8月27日发布联合《网络安全通告》AA25-239A,携手美国国家安全局(NSA)、联邦调查局(FBI)及多国情报与网络安全机构,公开警示:中国国家支持的高级持续性威胁(APT)行为体自至少2021年以来在全球范围系统性攻陷各类网络,此举旨在为“全球化间谍体系”提供数据支撑。通告指向的攻击已波及美国、澳大利亚、加拿大、新西兰、英国等地,相关活动与业界所称的 Salt Typhoon、OPERATOR PANDA、RedMike、UNC5807、GhostEmperor 等活动簇存在重叠。发布方未采纳商业命名,统一以“APT 行为体”称之,并同步给出可操作的检测线索与处置建议。
根据通告,这些行为体重点围绕大型电信运营商的骨干路由器、运营商边缘(PE)与客户边缘(CE)路由器下手,同时借助被攻陷设备与“可信连接”在不同网络间横向转移,通过修改设备配置实现长期、隐蔽驻留。涉及行业不仅包括电信,还延伸至政府、交通、住宿与军事基础设施。官方同时指出,相关行动呈“规模化、并发化”特征,攻击者会在众多IP地址上同时扫掠易受攻击、暴露在互联网上的设备,并不时回访个别系统实施后续行动。
通告背景部分还披露,多起恶意行动与中国境内多家实体存在关联,包括四川聚信和网络科技有限公司、北京寰宇天穹信息技术有限公司、四川智信锐捷网络科技有限公司等,这些公司向解放军多个单位与国家安全部提供网络相关产品与服务。针对境外电信与互联网服务提供商(ISP)的数据窃取,以及对住宿与交通领域的入侵,可为情报部门在全球范围识别并跟踪目标通信与行踪创造条件。
技术细节显示,初始入侵主要依赖已公开的“常见漏洞与暴露”(CVE),尚未观察到零日利用。需优先关注的重点包括:Ivanti Connect Secure/Policy Secure 的 CVE-2024-21887(常与 CVE-2023-46805 认证绕过链用)、Palo Alto Networks PAN-OS GlobalProtect 的 CVE-2024-3400(在特定版本/配置启用 GlobalProtect 时可导致未认证远程代码执行)、Cisco IOS XE 的 CVE-2023-20198(Web UI 认证绕过)与 CVE-2023-20273(提权链),以及 Smart Install 的 CVE-2018-0171。其中,Palo Alto Networks 与美国国家漏洞数据库(NVD)均确认 CVE-2024-3400 可使未认证攻击者以root权限执行代码;NVD亦给出 CVE-2024-21887 的命令注入细节。
在对 Cisco IOS XE 的利用上,攻击者被观察到滥用 WSMA 端点(/webui_wsma_Http 或 /webui_wsma_Https)以绕过认证并创建未授权高权限账户,且通过对URL路径进行“双重编码”(如 /%2577eb%2575i_%2577sma_Http)来混淆请求。漏洞修补后,相关请求会被设备内部代理,系统在流量中增加 Proxy-Uri-Source 头作为修复逻辑的一部分,据此可在日志或抓包中区分易受攻击与已修复设备。检测与狩猎需对大小写不敏感并容忍过度编码。
为维持持久访问与横向移动,攻击者倾向启用加密远程管理通道与非常规端口(如 SSH 采用“22×22/xxx22”高位端口、HTTPS 管理面监听“18xxx”端口),修改ACL放行来自其控制的IP,开启或滥用PCAP/流量镜像(SPAN/RSPAN/ERSPAN),并配置 GRE/IPsec 隧道与静态路由以隐蔽转运流量;还会通过采集 TACACS+/RADIUS 认证流量、重定向 TACACS+ 服务器、弱密码破解等方式捕获凭据。此外,IOS XR 平台上默认关闭的宿主Linux SSH 服务(sshd_operns)被观察到在 TCP/57722 被开启并配合本地提权使用;在支持容器的设备上,攻击者还会部署(或滥用)Guest Shell/IOx 等容器环境以装载工具、在本地处理数据并逃避常规日志监控。通告同时点名多款基于Linux/Go的定制SFTP客户端(例如“cmd1”“cmd3”“new2”“sft”)及对应YARA规则,说明其用于在受害环境打包、加密、转储档案并传送至中转主机,有的还具备在设备上采集PCAP的能力。
外传链路方面,攻击者被指滥用对等互联(peering)路径,并将指挥控制与数据外传流量“埋入”代理与NAT池等高噪声节点;GRE与IPsec隧道被反复用于C2与外传。CISA同步发布了覆盖2021年8月至2025年6月的IP型IOC清单(JSON/XML),但也提示部分地址可能已失效,建议在封堵前先行甄别。
通告敦促关键基础设施运营者立即开展威胁狩猎并据风险排序优先修补暴露在互联网上的边界设备,同时参照 CISA“已知被利用漏洞(KEV)目录”制定补丁优先级。管理面硬化被视为重中之重:将 SSH/HTTPS/SNMP/TACACS+/RADIUS/SFTP 等仅绑定在独立管理VRF/带外管理网,实施控制平面策略(CoPP)与严格ACL白名单;禁用Telnet/HTTP与所有不必要协议,只用 SNMPv3 并限制写操作;收紧跨VRF路由泄露与边界静态/策略路由;限制管理面出站连接,防止其被当作横向跳板或外传通道。Cisco 设备方面,建议禁用 Smart Install、本地凭据存储改用 Type 8(PBKDF2-SHA-256)或 Type 6(AES),淘汰 Type 5/Type 7;如非必要,禁用 Guest Shell/IOx,或将其日志接入SIEM并限制其VRF出站。
发布机构提醒,攻击者往往在多处预置后门与多条进入路径,防御方应在符合法规的前提下谨慎编排处置顺序,尽可能在全面掌握对方渗透范围后实施“同时驱离”,避免“部分响应”惊动对手导致彻底清除失败;同时保护好内部威胁狩猎与应急工作的敏感信息,防止被对方通过已被攻陷的邮箱、管理员终端或账户窃听。针对本次活动的更多细节(包括PDF全文与IOC附件),CISA与NSA等机构在官网与新闻稿中已给出下载与报送渠道,呼吁各行业组织向主管部门报告可疑或已确认的恶意活动,以形成合力、缩短攻击者的生存时间。
Responses