美國網路安全與基礎設施安全局（CISA）、聯邦調查局（FBI）及國家安全局（NSA）等機構，聯同加拿大、澳洲、紐西蘭、英國、捷克、芬蘭、德國、義大利、日本、荷蘭、波蘭及西班牙等多國政府，於本週發布全球安全公告，警告中國國家級駭客構建的「全球間諜系統」威脅。公告詳述中國國家支援的威脅行為者，包括Salt Typhoon（鹽颱風），如何滲透全球網路，並提供防禦指南。專家表示，此移除了中國行動的隱匿性，台灣作為地緣政治敏感區，需高度警戒關鍵基礎設施。

 

 

公告將此活動歸類為多個先進持續威脅（APT）群組，部分與Salt Typhoon重疊。Salt Typhoon以攻擊全球電信基礎設施聞名，去年美國發現其入侵案，但中國國家級駭客近年來橫行，針對組織進行間諜及預置攻擊。公告追溯活動至2021年，強調這些APT在電信、政府、交通、住宿及國防領域取得「相當成功」，專注入侵大型骨幹路由器、供應商及客戶邊緣路由器、遭入侵裝置及可信連接，進而滲透其他網路。「這些行為者常修改路由器，以維持對網路的持久、長期存取。」

 

 

公告揭露中國人民共和國（PRC）網路行動的技術細節，包括先前未知洞見。APT利用公開已知漏洞，但尚未觀察到零日漏洞利用。常見漏洞包括Ivanti Connect Secure及Policy Secure的Web元件命令注入漏洞CVE-2024-21887；Palo Alto Networks PAN-OS GlobalProtect OS命令注入漏洞CVE-2024-3400；以及Cisco IOS XE漏洞CVE-2023-20273、CVE-2023-20198及CVE-2018-0171。公告敦促防禦者優先修補這些漏洞，因APT頻繁鎖定。

 

 

雖然APT聚焦路由器等技術，公告註明「作者機構懷疑APT可能鎖定其他裝置（如Fortinet防火牆、Juniper防火牆、Microsoft Exchange、Nokia路由器及交換器、Sierra Wireless裝置、Sonicwall防火牆等）。」為維持持久性，APT使用多種戰術，如修改存取控制清單（ACLs）新增IP地址、開啟標準及非標準連接埠、啟用SSH伺服器、在網路裝置開啟外部面向連接埠、建立通訊協定隧道、列舉並更改網路其他裝置設定等。

 

 

側向移動戰術同樣詳盡，包括透過遭入侵路由器擷取含憑證的網路流量、暴力破解弱憑證。「在初始存取後，APT鎖定驗證相關協定及基礎設施，如終端存取控制器存取控制系統Plus（TACACS+），透過SNMP列舉及SSH促進網路裝置間側向移動。」公告指出：「從這些裝置，APT被動收集特定ISP客戶網路的封包擷取（PCAP）。」

 

 

為緩解這些威脅，作者機構提出廣泛建議。因惡意活動常涉及持久、長期存取，APT維持多種存取方法，故防禦需全面。建議包括監控網路裝置設定變更、檢查虛擬化容器篡改跡象（確保所有容器經授權）、審核網路服務及隧道、獵捕APT偏好協定模式、檢查日誌、監控韌體及軟體完整性。公告並包含入侵指標（IOC）。

 

 

Bugcrowd首席策略及信任官Trey Ford表示，此公告試圖「以公開方式燒毀中國努力，提高針對行動的成本及營運開銷。」Deepwatch網路安全啟用總監Frankie Sclafani告訴Dark Reading，CISA公告緊急，因凸顯中國國家贊助活動的「關鍵轉變」—從純間諜轉為更具侵入性。「不僅竊取資料，還深入關鍵基礎設施網路，獲取長期存取以潛在破壞。」Sclafani強調，CISA的廣泛洞見及夥伴關係，使其發出「關鍵警鐘」，敦促組織立即獵捕並實施建議緩解，保護系統。

 

 

台灣資安專家分析，此警告對本土影響深遠。台灣作為中國地緣政治目標，常遭國家級APT攻擊，如APT41等群組。行政院國家資通安全會報表示，將密切追蹤公告內容，並呼籲企業及政府單位修補漏洞、強化邊緣裝置防護。趨勢科技台灣區總經理洪偉淦受訪時指出：「中國APT高度精密，台灣電信及國防領域易成標靶。企業應實施零信任架構，監控路由器流量，並定期進行紅隊測試。」他建議本土用戶檢查Ivanti、Palo Alto及Cisco裝置，啟用多因素認證（MFA），並整合公告IOC至資安工具。

 

 

此事件與近期資安趨勢呼應，如Google揭Salesforce攻擊源自第三方App、Citrix NetScaler零日漏洞遭利用，顯示國家級威脅擴大。國際聯盟發布公告，凸顯全球合作對抗中國網路行動的必要。台灣政府可借鏡，強化與五眼聯盟等合作，保護關鍵基礎設施。隨著5G及IoT普及，網路裝置成攻擊焦點，防範「全球間諜系統」刻不容緩。若不行動，可能面臨間諜、資料外洩或未來衝突時的破壞風險。