满屋子敞开的窗户:为什么电信公司可能永远无法清除盐台风的网络
快速阅读: 据《Cyber Scoop 独家新闻》最新报道,研究表明,中国黑客组织“盐风暴”成功渗透美国电信网络,引发关注。专家指出,清除这些黑客极为困难,因电信网络复杂且漏洞众多。佛罗里达大学研究揭示,多个开源和商业5G系统存在上百个漏洞,解决进展缓慢,令人担忧。
当新闻传出一个名为“盐风暴”的中国黑客组织已渗透多个美国电信网络,获取了总统竞选团队的电话访问权限,并收集了华盛顿特区周边高价值目标的地理定位数据时,高管和美国官员首先想到的问题是:驱逐他们需要多长时间。这场间谍行动震惊了政府、电信行业乃至各界人士。尽管大国间网络支持的间谍活动通常被视为公平竞争,但“盐风暴”的大胆行为以及系统性地入侵网络并收集高价值情报的方式,反映了他们对美国电信网络运作方式有着深刻的理解。“盐风暴”的大范围入侵对美国及其盟友构成了威胁,危及几乎所有美国人(包括高层政府官员)的手机通信,并对美国国家安全构成严重威胁。弗吉尼亚州民主党参议员马克·沃纳称其为“我国历史上最严重的电信黑客事件”。
然而,在随后的几个月里,拜登政府、现任和前任网络安全官员、国会议员及其他专家多次暗示,许多美国电信公司可能永远无法完全清除其网络中的“盐风暴”。前国家情报总监网络威胁情报整合中心负责人劳拉·加兰特告诉《赛博斯科普》,一些人对此反应平淡,这反映出数字漏洞往往比物理漏洞受到公众更少的关注。“我们不能接受这种程度的间谍活动出现在我们的网络上,”加兰特说。“如果你有50名中国国安部间谍或承包商坐在一家主要电信公司的大楼内,他们会立即被赶出去,并且会进行全面努力。这在很大程度上就是发生了的事情,但访问是通过数字方式进行的。”
但在与多位美国政府和行业官员的访谈中,全面地将“盐风暴”从网络中驱逐出去将说起来容易做起来难。隐藏起来并不难
当美国官员警告说电信公司可能永远无法完全清除其网络中的“盐风暴”时,这主要是基于三个因素:现代电信网络的规模和复杂性、管理授予广泛网络访问权限的身份解决方案的难度,以及行业整合和对网络安全漠不关心的历史,导致许多电信公司在面对中国政府黑客时准备不足。这些因素导致了一个庞大的电信网络系统,该系统由遗留技术和现代技术组成,充满了软件和硬件漏洞,并提供了多种通过利用漏洞重新进入的途径。如果一个接入点被修补或关闭,或者攻击者被驱逐,他们常常可以简单地利用另一条漏洞链来重新获得访问权限或利用之前部署的持久性机制。换句话说:如果房主让所有的窗户都开着,窃贼不会在意前后门是否锁上了。
“我认为大家都在急于说,‘是的,我们已经驱逐了盐风暴,盐风暴不再是问题。’但这不是网络安全的工作方式,也不是情报机构的工作方式,”网络安全公司Censys的主要安全研究员西拉斯·卡特勒说。在“盐风暴”公开后,像AT&T、Verizon、Lumen等大型电信公司确认它们受到了影响,并声称已经从其网络中清除了攻击者或“控制”了事件。但是,美国官员继续坚持认为“盐风暴”仍然活跃在美国网络中,与《赛博斯科普》交谈的专家表示,电信公司关于其暴露情况的声明充满了法律术语,只衡量了一个时间点,并没有考虑到攻击者可以通过多种方式重新进入电信基础设施。
“你能做的最好的事情就是在杀伤链的早期找到他们,”Nemesis Global首席执行官兼创始人格恩特·莱恩说,该公司是一个防御性网络安全平台,仅在北约和五眼国家销售。“你可以驱逐他们,而且你必须这样做。你不能让他们靠吃现成的东西生存或生活在你的系统中。”
还有一个规模问题。任何认真尝试清除单一电信网络中的中国黑客,很可能需要对数以万计的公司终端进行取证分析,寻找妥协迹象、横向移动或数据窃取的痕迹。虽然莱恩已经努力构建Nemesis Global的平台来进行这样的自动化终端内存取证,但她表示这是相对较新的能力,尚未广泛可用。卡特勒表示,部分追踪“盐风暴”的困难在于缺乏明确且具体的指示对象供威胁猎手追踪。“那些非常有针对性的威胁猎捕指示对象,我在这个项目中从未见过,”他说。“我觉得我没有足够的东西可以定期可靠地狩猎,能够说,‘是的,我认为我们已经很好地清除了这项活动。’”
消息来源指出,该组织在其行动中反复利用了两类技术:身份管理软件和网络边缘设备。“当你深入细节时,问题是能否管理谁有权访问网络的不同部分,”加兰特说。“你能否有信心以相关速度在你的网络上搜索和检测恶意活动?这将有助于回答在未来几年内中国情报机构是否仍然存在于我们的电信公司中。”
与此同时,Censys于四月份发布的六个月趋势分析发现,超过20万台四个流行的网络和边缘设备存在公共暴露,这些设备存在漏洞,据信已被“盐风暴”利用,其中大部分位于美国。并非所有暴露的设备都一定存在漏洞,许多研究人员对缺乏关于“盐风暴”的直接遥测感到沮丧。然而,报告得出了令人不安的结论。“尽管公众对‘盐风暴’活动的意识日益增强,但暴露的、据称被针对的设备在公共互联网上的数量几乎没有实质性减少——自2024年10月以来仅减少了25%,”报告指出。
网络边缘设备已成为中国黑客隐藏其存在的重要工具,既避开电信公司也避开美国当局。通过瞄准和破坏VPN、小型办公室/家庭办公室(SOHO)路由器和仅WiFi路由器,像“盐风暴”这样的团体可以伪装成国内美国用户并融入正常的网络流量。它还允许他们在受信任的美国网络中运行并逃避威胁猎手的检测。
“中国所做的是使用这些本地化的美国IP地址边缘设备来混淆来自中国的最后几英里网络流量,”加兰特说。“他们非常清楚,一旦跳转到美国IP空间,我们的当局就更难使用了。”
集中市场,集中漏洞
电信公司管理的技术堆栈庞大而复杂,反映了行业几十年来的合并历史。随着互联网和数字化在千禧年初转型媒体,电信公司超越了基本的电话和连接服务,扩展到了银行业务、移动金融服务和广告领域。在许多情况下,高管们认为收购是最快速和最有效的方法来实现这一目标,购买其他公司并吸收它们的技术基础设施。
FTI Delta的维克多·丰特在2023年的分析发现,电信行业的合并主要是由于电信公司希望在网络和IT部门实现协同效应和成本节约,因为公司试图满足爆炸性的消费者需求并扩大市场份额。这一策略在数字安全领域产生了深远的影响,使许多市场上的最大玩家成为不同设备、技术和架构的“科学怪人”。
“当一家公司收购另一家公司时,它们也在收购这家公司的安全漏洞,”加兰特说。电信公司收购了区域运营商、各种类型的技术以及层层叠加的网络,从铜线到最先进的5G和6G技术。“保护这些网络特别困难,你必须吸收每次收购带来的安全态势,并为每次收购建立应急响应和类似CERT的功能,”加兰特说。
另一位前美国网络安全官员附和了这一观点,他告诉《赛博斯科普》,新收购不可避免地引入了新的复杂性和风险到安全管理中。但总体而言,担忧的重点不在于收购本身,而在于它们是否在网络安全方面负责任地进行。“他们进行了适当水平的尽职调查了吗?他们进行了适当水平的集成以确保新收购达到内部相同的安全标准了吗?”这位要求匿名讨论“盐风暴”的官员问道。
解决这一问题遇到了老生常谈的难题
进一步的研究显示,行业对漏洞披露和修复的反应各不相同,尤其是在面临证据表明系统中存在漏洞的情况下,尤其是使用尖端技术的系统。佛罗里达大学计算机与信息科学与工程教授凯文·巴特勒是“劫掠”项目的作者之一,该项目是一个大规模研究项目,旨在调查电信核心网络中的漏洞。在一次采访中,巴特勒说要将蜂窝网络分为三个层次:用户设备(即手机和具有蜂窝接口的设备);设备通过空中通信与基站连接到更大的无线电接入网络;以及这些网络与公共交换电话网络之间、连接全球电话基础设施的蜂窝核心之间的通信。
巴特勒的团队专注于最后一个部分,研究恶意行为者如何利用现有漏洞来破坏和访问核心蜂窝网络的各种方式。他们首先发现的是,许多现有的网络安全工具和协议并不适用于这项任务。蜂窝网络“由大量相互作用的组件组成,其方式非常复杂”,并且“使用的协议类型看起来有点不同于常规计算机网络协议”。这意味着,“我们常用的网络协议安全评估工具对于蜂窝网络并不适用,”巴特勒说。
使用一种称为“模糊测试”的网络安全测试方法,该方法向程序输入随机或意外的数据以识别安全问题,巴特勒的团队开发了一套定制系统,可以评估LTE/5G核心电信基础设施的安全性。他们发现的情况令人震惊:许多常见的LTE和5G实现(如Open5GS、Magma、OpenAirInterface、Athonet、SD-Core、NextEPC、srsRAN)存在超过一百个独特的可利用漏洞。大多数这些漏洞可以用来在一个地理区域内干扰蜂窝通信,而较小的一部分则可以授予对网络核心的远程访问权限。
对于某些漏洞,研究人员发现发送特定消息到核心网络会导致系统的内存损坏,从而允许攻击者执行任意命令。研究团队开发了一个验证程序原型,可以“基本上在该网络组件上建立命令和控制或持久性通道,并从中造成进一步损害,”该大学的学生和论文的主要作者纳撒尼尔·贝内特说。
参与研究的另一名佛罗里达大学教授帕特里克·特雷诺告诉《赛博斯科普》,他们的报告仅反映了他们用有限资源所能发现的漏洞。但或许更令人担忧的是这些漏洞最终是如何被解决的。在发表之前,研究小组联系了许多开源维护者、商业实体以及其他受影响软件的所有者,按照漏洞披露流程进行处理。有些人认真对待这个问题,而有些人则没有回应。在其他情况下,研究小组无法确定负责方或维护者——这是关键基础设施中的常见问题,而那些做出回应的人中许多人缺乏人员或专业知识来解决这些漏洞。
最终,贝内特花费了几个月时间与受影响的相关方沟通,并为受影响的软件创建了大部分补丁。当被问及团队对“盐风暴”入侵美国电信公司有何反应时,特雷诺说他们并不感到惊讶。他强调,“这是我们用有限的专业知识和资源所能发现的,”并明确表示“如果我们有更多的各方或安全专家对美国电信网络的其他部分进行类似的审查,我们预计会有更多漏洞被揭露。”
“首先,这些网络极其复杂,”特雷诺说。“当然,保障互联网安全已经够困难了,而且由于复杂性,加上其封闭历史,实际上意味着没有那么多眼睛能够看到这些系统。”
“当一家公司收购另一家公司时,它们也在收购这家公司的安全漏洞。”加兰特说。电信公司购买了区域运营商、各种类型的技术以及层层叠叠的网络,“从铜线到最先进的5G和6G技术无所不包。”“确保这些系统的安全尤其困难,你必须吸收其基本的安全态势,并为每一次收购构建不同的应急响应和类似CERT的功能。”加兰特说。
另一位前美国网络安全官员也认同这一观点,他对CyberScoop表示,新的收购不可避免地增加了安全管理的复杂性和风险。但总体而言,人们的担忧更多在于这些收购是否以负责任的方式进行,特别是在网络安全方面。“他们是否进行了充分的尽职调查?他们是否进行了适当的整合,以确保新收购的系统达到内部一致的安全标准?”这位要求匿名讨论Salt Typhoon的官员问道。
一个潜在的解决方案遇到了熟悉的问题
进一步的研究显示,该行业在漏洞披露和修复方面的反应各不相同,尤其是在面对证据表明先进系统中存在缺陷时。佛罗里达大学计算机与信息科学与工程教授、佛罗里达网络安全研究所主任凯文·巴特勒是《掠夺》这一大规模研究项目的作者之一,该项目研究了电信核心网络中的漏洞。在接受采访时,巴特勒说要将蜂窝网络视为三个层次:用户设备(即手机和具有蜂窝接口的设备);设备通过空中通信连接到基站并接入更大的无线接入网;以及这些网络与公共交换电话网之间的通信,后者是连接全球电话基础设施的核心部分。
巴特勒的团队重点研究了最后一部分,调查恶意行为者可以利用现有漏洞来破坏和访问核心蜂窝网络的各种方式。他们发现的第一件事是许多现有的网络安全工具和协议不适合这项任务。蜂窝网络“由大量相互作用非常复杂的组件组成”,并且“使用的协议类型看起来有点不同于普通的计算机网络协议”。这意味着我们通常用于评估网络协议的安全工具对蜂窝网络不太适用,巴特勒说。
使用一种名为“模糊测试”的网络安全测试方法,该方法向程序输入随机或意外的数据以识别安全问题,巴特勒的团队开发了一个定制系统,可以评估LTE/5G核心电信基础设施的安全性。他们的发现令人震惊:许多常见的LTE和5G实现(如Open5GS、Magma、OpenAirInterface、Athonet、SD-Core、NextEPC、srsRAN)有超过一百个独特的可利用漏洞。其中大多数可以用来在一个地理区域内干扰蜂窝通信,而较小的一部分则可以使攻击者能够执行任意命令,从而获得对网络核心的远程访问权限。
对于某些漏洞,研究人员发现发送特定消息到核心网络会破坏系统的内存,使攻击者能够运行任何命令。研究团队开发了一个概念验证程序,可以“基本上建立对该网络组件的指挥控制或持久连接,然后从此处造成进一步损害,”该大学的学生兼论文主要作者Nathaniel Bennett说。
参与研究的另一位佛罗里达大学教授Patrick Traynor告诉CyberScoop,他们的报告仅反映了他们用有限资源所能找到的漏洞。但更令人担忧的是这些漏洞最终是如何被解决的。在发表之前,研究小组联系了许多开源维护者、商业实体和其他受影响软件的所有者,以完成漏洞披露过程。有些人认真对待这个问题,而有些人没有回应。在其他情况下,团队无法确定责任方或维护者——这是关键基础设施中的常见问题,而那些作出回应的人往往缺乏人员或专业知识来解决这些问题。
最终,Bennett花了数月时间与受影响的利益相关者沟通,并为受影响的软件创建了大部分补丁。当被问及团队如何应对Salt Typhoon入侵美国电信的消息时,Traynor说他们并不感到惊讶。他强调,“这是我们用有限的专业知识和资源所能发现的”,并明确表示,“如果我们有更多的各方或安全专家对美国电信网络的其他部分进行类似的审查,我们预计会有更多漏洞被发现。”
“首先,这些网络极其复杂,”Traynor说。“当然,确保互联网的安全已经足够困难了,而且由于复杂性,以及其封闭历史的原因,实际上意味着很少有人能观察到这些系统。”
(以上内容均由Ai生成)
