电压台风网络攻击警示

关键要点

• 电压台风 攻击了美国的关岛，这是一种“土生土长”的攻击方式，显示了国家支持的网络威胁演员的真正危险。
• 该攻击者自2021年以来一直在监视美国的关键基础设施，且使用现有系统软件进行攻击，使得检测更加困难。
• 安全团队 必须意识到，国家支持的攻击者在组织中实施攻击时不可能有100%安全的保证，因此应专注于减少潜在损失。

最近发生的电压台风
网络攻击，针对具有军事战略意义的美国关岛，成为了所有管理工业设施和其他关键基础设施的网络安全领导者的警钟。背后支持这一攻击的中国国家黑客组织，自2021年以来就一直悄悄监控美国的关键基础设施。例如，来自洛克希德·马丁和波音的机密数据被用来建造中国人民解放军的FC-31隐形战斗机。

攻击特征

电压台风在南太平洋针对关岛的攻击属于“土生土长”的攻击方式。与传统攻击不同，这种攻击方式不需要攻击者诱使目标安装恶意软件，攻击者利用现有系统软件进行破坏，使得入侵更难以检测。虽然电压台风的活动早在2021年中期就已被观察到，但该组织可能在影子中活跃了更长时间。即使是该组织的名称也可能引起混淆。虽然微软在发现该组织活动后兴奋地使用了“电压台风”这个名字，但这并没有提供关于其特征的足够信息。

现状 ： 如果国家支持的攻击者想要侵入一个组织，安全团队无法100%确定其防御措施是否能够阻止所有攻击。

这种情况下，组织应采取措施减轻损失。网络隔离和能够隔离受影响环境的能力，能够有效地容纳意外事件的发生。

安全最佳实践

一些基本的安全最佳实践，包括：多因素认证；强密码策略并设有90天的重置要求；只允许公司资产上批准的软件运行；以及员工培训，如网络钓鱼演练。尽管主要的国家支持攻击引起了广泛关注，大多数首席信息安全官
(CISOs) 仍然致力于应对那些因经济动机而导致的众多已知数据泄露的“随意攻击”。

全球网络升级的潜在影响

我们不应将电压台风的发现视为国家支持的网络间谍活动存在的证据，因为这一点早已为人所知，而应视为全球网络冲突升级潜力的标志。国家赞助的威胁演员正在快速繁殖，中国只是一众对手中的一员。

传统的物理攻击往往需要至少一名操作人员是在目标国家内部的，而像俄罗斯、朝鲜和伊朗这样的国家，将网络攻击视为较为经济的机会。虽然常规攻击的操作者常常会被揭露身份，但网络攻击通常具有匿名性。即使分析团队不断努力识别网络攻击的来源，国家也可以保持一定程度的合理否认。

在这种不确定性中潜藏着机会。

Ronen Ahdut，Cynet 网络威胁情报负责人