中國駭客組織伏特颱風捲土重來，殭屍網路再度肆虐

中國駭客組織「伏特颱風」及其殭屍網路再度現身。根據安全研究人員表示，這個團隊利用舊款思科路由器再次入侵關鍵基礎設施網路並發動網路攻擊。

早在十個月前，美國聯邦調查局宣稱已成功打擊這個與中國政府有關的駭客組織，當時聯邦調查局滲透了該組織的行動，並遠端清除了殭屍網路。

當時，美國司法部警告說，「伏特颱風」已經用惡意軟體感染了「數百台」過時的思科和Netgear路由器，以便將這些設備用於入侵美國的能源、水利和其他重要設施。此外，該組織早在 2021 年就開始鎖定美國的關鍵組織。

就在上週，有報導指出，同一個網路間諜團隊於夏季入侵新加坡電信，這被認為是中國為進一步攻擊美國電信公司而進行的「測試」。

「一度被認為已被瓦解的伏特颱風又回來了，而且攻擊手法變得更加精密複雜，攻擊目標明確並且更加堅決地要達成目標，難以防範。」SecurityScorecard 威脅研究和情報高級副總裁萊恩·謝爾斯托比托夫（Ryan Sherstobitoff）說道。

謝爾斯托比托夫在週二的一份報告中透露，該安全公司的威脅研究、情報、知識和行動 (STRIKE) 團隊發現伏特颱風正在利用過時的思科 RV320/325 路由器和網件 ProSafe 路由器。

「這些已停產的設備成為完美的入侵點，僅在37天內，伏特颱風就已經入侵了30%的可見思科RV320/325路由器。」謝爾斯托比托夫寫道。

當被問及被濫用的具體漏洞時，謝爾斯托比托夫說：「伏特並未利用當前思科設備中的明確CVE漏洞。」但他補充說，因為這些路由器已經停產，廠商不再提供安全更新。「這導致現有漏洞的利用增加，」

他說，自從殭屍網路被破壞並隨後重建以來，威脅獵人已經發現了「幾十台」被入侵的設備。然而，他指出，「我們觀察到命令和控制伺服器正在被部署到其他網路供應商。」

聯邦調查局拒絕對「伏特颱風」據稱的捲土重來發表評論，美國政府的網路安全和基礎設施安全局也沒有立即回應媒體的詢問。

伏特颱風的攻擊時間線

這個中國駭客組織的殭屍網路於 2023 年首次被曝光，此前微軟和「五眼聯盟」情報機構披露伏特颱風已經訪問了屬於美國關鍵基礎設施組織的網路。

據稱，這個間諜團隊利用一個由自簽SSL憑證「JDYFJ」辨識的思科和Netgear路由器所建構的殭屍網路。根據SecurityScorecard的說法，這個殭屍網絡使用位於荷蘭、拉脫維亞和德國的指揮與控制（C2）基礎設施來隱藏其惡意流量。

到 2023 年 10 月，「伏特颱風」已經佔據了新喀里多尼亞一台被入侵的 VPN 設備。這建立了「亞太地區和美洲之間的秘密橋樑」，使「他們的網路保持活躍，不被標準檢測發現。」謝爾斯托比托夫寫道。

2024 年 1 月，聯邦調查局領導的行動破壞了伏特颱風的部分基礎設施。然而，在週二的報告中，謝爾斯托比托夫解釋說，這些中國間諜迅速在 Digital Ocean、Quadranet 和 Vultr 上建立了新的 C2 伺服器，並註冊了新的 SSL 證書，以避開執法部門的監視。

截至 9 月，「殭屍網路仍然存在。」他寫道。它使用 JDYFJ 伺服器群在全球範圍內路由流量。「來自新喀里多尼亞和路由器節點的連接保持活躍超過一個月，這加強了伏特颱風的基礎設施。」

這份報告發布之際，政府官員和私人安全公司都注意到，針對美國和全球網路的中國網路間諜活動有所增加。

上週，彭博社表示，伏特颱風在 6 月被發現之前就已經入侵了新加坡電信的網路，並使用網頁後門執行這次安全入侵。

8 月，Lumen Technologies 的 Black Lotus Labs 警告說，「伏特颱風」濫用了 Versa SD-WAN 漏洞 CVE-2024-39717，在客戶的網路上植入定制的、竊取憑證的網頁後門。

然後，在 9 月，另一個名為「鹽颱風」（Salt Typhoon）的中國政府支持的組織被指控入侵了美國電信供應商的基礎設施。這些入侵事件在 10 月被曝光，據報導，這些間諜入侵了 Verizon、AT&T 和 Lumen Technologies。

同樣在 9 月，聯邦調查局透露，國際警察部門破壞了一個由另一個與北京有關的駭客組織「亞麻颱風」（Flax Typhoon）控制的 26 萬台設備的殭屍網路。

該組織自 2021 年以來一直在構建基於 Mirai 的殭屍網路，並針對美國的關鍵基礎設施、政府和學術機構。