南海紧张局势与 Volt Typhoon 网络威胁

关键要点

随着南海的紧张局势升级，人们对与中国有关的高级持续威胁组织（APT）渗透美国关键基础设施的担忧日益加剧，这可能是对亚洲西方军事通信链的攻击的前奏。

微软发现了一个“隐秘且有针对性的”运动，影响了多个行业的组织，微软称这个国家支持的组织为 Volt Typhoon。

该组织自 2021 年中期活跃以来，已成功针对关岛及美国其他地区的关键基础设施组织。

“微软以中等信心评估，Volt Typhoon的这一行动正在发展出可能在未来危机中干扰美国与亚洲区域之间关键通信基础设施的能力，”公司在其中表示。

Volt Typhoon 影响的组织涵盖通信、制造、公用事业、交通、建筑、海事、政府、信息技术和教育等多个行业。

网络安全和基础设施安全局（CISA）与美国及海外的多个安全机构联合发布了，提供了有关如何识别该威胁的更多细节。

该组织对关岛基础设施组织的目标引起了人们的关注，因为该岛在美国军事基地的战略重要性，使得其与台湾的关系愈发敏感，此时正值中西方之间。

“观察到的行为表明，攻击者意图进行间谍活动，并在尽可能长的时间内保持访问而不被发现，”微软的公告中提到。

人们担心 Volt Typhoon 的行动可能最终导致一次网络攻击，旨在切断通讯，以干扰美国对中国军事行动针对台湾的回应能力。

Mandiant Intelligence 的首席分析师 John Hultquist 表示，虽然 Volt Typhoon的行动可能表明该组织为一次破坏性或干扰性网络攻击做准备，但这种攻击并不一定会立刻发生。

“ 备战并不意味着攻击是必然的。各国进行对关键基础设施的长期侵入，以为可能的冲突做准备，因为在冲突发生时可能已经太晚，无法获得访问权限，”他说。

“这些操作具有攻击性且潜在危险，但并不一定意味着攻击会即将爆发。破坏性和干扰性网络攻击的更可靠指标是地缘政治状况的恶化。破坏性和干扰性网络攻击并不仅仅是战时的情形。这种能力可能被各国用来寻找非武装冲突的替代方案。”

Hultquist还提到，与其他网络攻击性国家不同，中国并不经常进行破坏性和干扰性网络攻击。“因此，其能力相当不透明。这一披露是调查和为这一威胁做好准备的难得机会。”

根据微软的说法，威胁行为者强调隐蔽性，几乎完全依赖于通过“借用本地资源”的技术和亲自操作。

为了尽可能多地提取数据并保持隐蔽，该组织甚至通过被攻陷的小型办公和家庭办公网络设备（如路由器、防火墙和 VPN
硬件）路由其流量，从而与正常的网络流量融合。这些设备在 COVID-19 疫情期间迅速成为许多组织网络防御的薄弱环节，因为更多员工转向在家工作。

Volt Typhoon 通过暴露于互联网的 Fortinet FortiGuard