来源: China-Linked Cyber Actors Turn to Massive Covert Botnets to Evade Detection
一份新发布的网络安全咨询报告重点指出,与中国有关联的威胁行为者所使用的战术、技术和程序(TTP)正在发生演变。该报告由英国网络联盟支持,并由英国国家网络安全中心(NCSC-UK)与国际合作伙伴共同协调发布,揭示了中国威胁行为者如何利用大规模的隐蔽式入侵设备网络开展恶意网络行动。
中国关系策略的战略转变
近年来,网络安全专家观察到中国网络攻击的战术、技术和程序(TTP)发生了明显转变。中国攻击者不再依赖专用的、独立控制的基础设施,而是利用庞大的受感染设备网络,通常被称为隐蔽网络或僵尸网络。这些网络主要由小型办公室/家庭办公室(SOHO)路由器、物联网(IoT)设备和其他联网硬件组成。
根据该报告,大多数与中国有关联的行动者据信都在使用此类隐蔽网络,多个网络同时运作,且往往由不同组织共享。这些网络不断更新,使其具有高度适应性和追踪难度。
任何被中国威胁行为者盯上的组织都可能受到影响。例如,名为“伏特台风”(Volt Typhoon)的组织曾利用这些隐蔽网络在关键基础设施中预先部署网络能力,而“弗莱克斯台风”(Flax Typhoon)则利用类似方法进行间谍活动。
隐蔽网络如何运作
尽管僵尸网络并非新生事物,但与中国有关联的攻击者如今正以前所未有的规模和战略意图部署它们。这些隐蔽网络使攻击者能够掩盖其身份,通过多个节点路由恶意流量,并降低被追溯的风险。
通常,攻击者通过入口点(或称“入口通道”)接入网络,并将流量路由至多个已被入侵的设备(称为穿越节点),最终在目标附近离开网络。这种多跳攻击方式可以掩盖攻击的来源。
这些网络支持网络攻击的各个阶段,从侦察和扫描到恶意软件投放、命令与控制通信以及数据窃取。它们也被用于一般浏览,使攻击者能够在不暴露身份的情况下研究漏洞并改进战术、技术和程序 (TTP)。某些网络上合法用户的存在进一步增加了溯源的难度。
真实案例和规模
有证据表明,一些被“中国网络”组织使用的隐蔽网络是由中国网络安全公司开发和维护的。一个显著的例子是“猛禽列车”(Raptor Train)网络,该网络在2024年感染了全球超过20万台设备。据报道,该网络由诚信科技集团(Integrity Technology Group)管理,而这家公司也被美国联邦调查局(FBI)与“亚麻台风”(Flax Typhoon)行动联系起来。
另一个例子是Volt Typhoon使用的KV僵尸网络,该网络主要利用过时的思科和网件路由器。这些设备特别容易受到攻击,因为它们已经达到“生命周期结束”状态,这意味着它们不再接收安全更新。
这些网络的规模和适应性构成了一项重大挑战。正如英国国家网络安全中心(NCSC)运营总监保罗·奇切斯特所说:“僵尸网络利用日常联网设备的漏洞,有可能发动大规模网络攻击,对英国构成重大威胁。”
网络防御者面临的挑战
网络安全研究人员早已意识到此类威胁,但中国网络攻击策略和程序(TTP)的不断演变带来了新的挑战。Mandiant Intelligence 在 2024 年 5 月指出的一个关键问题是“入侵指标(IOC)的消失”。由于攻击者可以利用庞大且不断变化的设备池进行攻击,传统的防御措施(例如静态 IP 黑名单)正变得越来越无效。
随着受损节点被修复或移除,新的节点会迅速加入,使得这些网络具有高度动态性。这种流动性削弱了传统的检测和缓解策略。
防御措施和最佳实践
该建议概述了各组织可以采取的若干步骤来防御与中国有关联的隐蔽网络:
适用于所有组织:
对于高风险组织:
-
使用 IP 允许列表而不是阻止列表来进行 VPN 访问。
-
对传入连接进行地理位置和行为特征分析。
-
采用零信任安全模型。
-
强制执行SSL机器证书。
-
减少面向互联网的系统暴露。
-
探索机器学习工具以检测异常情况。