【電信業屢遭國家級駭客鎖定】美國多家電信業遭駭成2024最大網路間諜事故

國家級駭客網路間諜攻擊帶來的危害，不只是資安業者頻頻揭露最新攻擊活動，公布竊取國家情報、商業機密的手法，近年國家級網路安全機構也經常發布資安公告，對國家關鍵基礎設施或企業示警，將攻擊滲透方式與威脅態勢公諸於世，目的是讓企業組織與公眾能了解事情的嚴重性，因為這類網路間諜活動不亞於網路詐騙、資訊作戰，在眾人不知不覺的時候，就已經對國家帶來重大危害。

最近，全球一起網路間諜攻擊事件的揭露備受矚目，而且苦主是身為關鍵基礎設施之一的電信產業，但影響的更是政府人士與全體國民的日常通訊。

2024年底，美國至少9家電信業遭中國駭客Salt Typhoon成功入侵，至今仍在持續調查，引發全球的高度重視，因為民眾使用的通訊軟體App都可能因為電信業遭駭事故，相關溝通的內容會被送往敵對國家的專業駭客進行竊聽。

事實上，電信業早已是國家級駭客的攻擊目標，已有許多資安業者揪出潛藏的攻擊活動，發布研究報告讓外界能有所警覺。但這次網路間諜事件在美國政府公開證實之下，受到更廣泛的關注。

而且，對此事件示警的不只有美國政府，還有加拿大、澳洲、紐西蘭，在這些國家網路安全局發布的聯合警告中，他們公布應對這次事件的電信業防護指引，並指出受中國政府支持的駭客組織，入侵了全球主要電信業者的網路，已是一場廣泛而重大的網路間諜活動。

究竟國家級駭客攻擊電信業的情形如何？2025年有那些攻擊態勢值得我們關注？我們找到對這方面相當熟悉的兩家資安業者，分別是趨勢科技與TeamT5，一同探討最新發展。

美電信業遭國家級網路間諜滲透，至今3個月仍在調查

2024年10月，媒體首次曝光中國駭客組織「Salt Typhoon」入侵美國電信業的消息。《華爾街日報》當時引述消息來源，率先揭露包括 AT&T、Verizon 與 Lumen 在內的多家電信業者遭到駭客攻擊，並提及可能是政府經法院授權向ISP業者請求資料的系統，遭到駭客未經授權存取。

11月13日，美國政府證實電信業遭駭客滲透一事，聯邦調查局（FBI）與網路安全暨基礎設施安全局（CISA）發布聯合聲明，公布初步調查狀況，指出實際影響是：用戶通訊記錄資料，有特定人士通訊內容遭竊取，以及依據美國法院命令提交的執法請求的資訊被複製。

到了12月4日，也就是距今一個多月前，多家媒體報導白宮副國家安全顧問Anne Neuberger公開調查最新進展，當中揭露至少有8家美國主要電信商遭駭，且駭客仍持續潛伏於受害系統中。後續又傳出有第9家電信業者受害，顯示事件規模仍可能擴大。

電信業遭駭問題嚴重，通訊軟體傳輸的內容若無全程加密也會被窺探

儘管事故調查結果尚未全面公布，之後才能真正確認問題環節，不過，由於美國CISA已針對此次事件，在12月18日公布行動通訊最佳實作指引，我們從中可窺見本次事件的嚴重性。

例如，CISA對此提出的第一項建議是：「用戶應使用具全程加密（E2EE）功能的通訊軟體，如Signal」。

從這項建議來看，意味著本次駭客攻擊電信業的事件，不只是一般人熟知的電話與簡訊遭竊聽的危害，就連民眾日常使用的即時通訊軟體，若沒有經過全程加密保護訊息傳輸，也是會被國家級駭客監控。

事實上，過去資安界早已強調E2EE的重要性，但普遍民眾可能沒那麼在意，但這次CISA的警告，顯現出缺乏E2EE保護的通訊軟體，也會因為中國駭客滲透電信業的網路間諜活動而影響。

此外，或許有些民眾認為，使用VPN網路可以防範，但VPN其實有很多種，CISA在此就建議：公司提供的VPN可以使用，但「請勿使用個人VPN網路」，CISA認為用個人VPN的作法只是將風險轉移，也就是從網路服務供應商轉移到VPN服務供應商，並無法解決問題，還可能增加攻擊面；而免費或商業VPN服務其安全性與隱私政策，也令人存疑。

CISA另一項建議是：「不要使用簡訊OTP這種低安全性的MFA」，此舉可能意味電信簡訊伺服器也遭駭客滲透。事實上，CISA從2016年就強調簡訊OTP不安全，無法抵擋SS7協定的漏洞攻擊，也無法抵抗網路釣魚，所以CISA還建議：「啟用FIDO以避免網路釣魚」。

對於國家級駭客入侵電信業的風險，CISA還有幾項建議，包括：設定電信PIN碼與MFA，定期更新軟體，以及從手機製造商取得新版韌體。這也呼應了先前我們列舉的國家級駭客攻擊手法，經常利用已知漏洞、針對未修補的用戶入侵，因此CISA呼籲用戶需重視手機與系統的更新修補，才能共同應對中國駭客鎖定電信業的網路間諜攻擊。此外，他們也分別針對iOS、安卓用戶提出具體的防護措施。

趨勢科技稍早也揭露東南亞電信業遭駭，研判都是同一駭客群體所為

更廣泛來看，這次美國多家電信業遭入侵，並非唯一的事件，因為多年來，電信業一直是國家級駭客窺伺的目標。

關於國家級駭客鎖定電信業的情況，在2024年11月25日，趨勢科技4位威脅研究人員共同發布一份調查報告，揭露中國駭客組織Earth Estries的最新活動，當中就有指出，東南亞電信業者遭受該組織攻擊的情形。

值得我們注意的是，趨勢科技所追蹤的這個中國駭客Earth Estries，與Salt Typhoon有相當大程度的關聯。

對此，趨勢科技威脅研究團隊向我們進一步說明，他們表示，這是因為在微軟對於中國駭客Salt Typhoon的研究中，已將其他資安業者命名的GhostEmperor和FamousSparrow這兩個駭客組織，納入Salt Typhoon駭客組織。（微軟2023年開始以氣候命名國家級駭客組織）

同時，趨勢科技也發現這些組織之間的關聯性。例如，趨勢科技追蹤的中國駭客組織Earth Estries，使用了DEMODEX rootkit程式來隱匿蹤跡，而從先前其他資安業者公開的報告來看，在GhostEmperor與FamousSparrow的攻擊行動中，同樣使用DEMODEX。不僅如此，Earth Estries攻擊時使用的戰術、技術與流程（TTP），也與這兩個組織有高程度的重疊。

從上述種種跡象來看，雖然趨勢科技無法完全確認這4個組織是百分百相同，因為可能一個駭客群體中有不同的團隊，又或是一個團隊中有不同的人員，但從攻擊工具手法的彼此共用情形來看，研究人員認為，這些群體很可能就是同一群人，或是存在高度關聯。

趨勢科技表示，以他們追蹤的Earth Estries（編按：又稱GhostEmperor、FamousSparrow、Salt Typhoon）而言，其實自2020年以來就相當活躍，一直針對政府與網路服務商發動攻擊，到了2022年，又開始鎖定政府與電信業者，因此已有攻擊電信業前例。根據他們的研究，大多數受害者已經遭駭多年，才發現被入侵的事實。

前陣子，他們調查一起東南亞電信業者的資安事故，也是Earth Esties所為。

當時該組織的手法，主要從受害者對外公開的邊緣裝置，並利用一些已知漏洞入侵，包括遠端存取邊緣裝置的漏洞，如Ivanti的漏洞CVE-2023-46805、CVE-2024-21887，Fortinet的漏洞CVE-2023-48788，Sophos的漏洞CVE-2022-3236漏洞，以及郵件邊緣裝置的漏洞，如ProxyLogon，只要電信業者使用這些產品卻未修補漏洞，攻擊者就能趁虛而入，這都是中國駭客擅長的入侵方式。

TeamT5揭電信業長年受到網攻，中國駭客TeleBoyi就經常這麼做

對於國家級駭客持續鎖定電信業的情形，杜浦數位安全（TeamT5）技術長李庭閣也提供了他們的觀察。

李庭閣指出，電信產業一直是國家級駭客的主要攻擊目標。例如，5年前資安業者Mandiant揭露，中國駭客組織APT41駭入香港電信商的簡訊伺服器，就是一例。

以TeamT5自身經驗為例，他們多年來持續追蹤這些國家級駭客，在每年統計之中，電信業一直位列受害目標排行榜中，是被鎖定的主要目標產業。因此，對於這次中國駭客Salt Typhoon入侵美國電信業，他們並不意外。

近期，他們在2024年初於日本JPCERT/CC舉辦的活動上，也曾揭露中國駭客組織TeleBoyi，並表明這個團體專門鎖定關鍵基礎設施進行攻擊，而且經常攻擊電信產業。

李庭閣表示，TeleBoyi的目標遍及全球許多國家，最早至少從2015年開始活動，首先攻擊的目標是臺灣，這也是TeamT5對此組織活動一開始揭露最多的原因。

特別的是，李庭閣還提到一個小故事，早年他們在調查TeleBoyi時，發現該組織使用的PlugX惡意程式，在與駭客端連線過程中時使用的密碼，是一串符號「&&%*%@!」，其輸入方式為按住Shift鍵，敲打鍵盤上的7758521，而這個諧音是中國當地慣用語，泛指「亲亲我吧我爱你」。

這個駭客組織不只針對臺灣，在2015年到2018年期間，TeleBoyi還經常鎖定東南亞、中東電信業攻擊，目標包括巴基斯坦、土耳其、泰國、印度、阿富汗，之後鎖定的國家與產業越來越廣，涵蓋歐美地區，並也攻擊能源、資訊與半導體產業，因此他們推斷，TeleBoyi對智慧財產竊取也有很高的興趣。

而且，該組織的攻擊手法也在持續轉變，例如，早期多以網釣攻擊手法入侵，2024年明顯轉向利用邊界設備漏洞，如防火牆及VPN漏洞，進行滲透，而在攻擊工具使用方面，TELEBOY與APT41之間存在顯著重疊，因此TeamT5研究人員懷疑，APT41可能充當TELEBOY的「武器供應商」。這種國家級駭客組織之間的合作模式，進一步使得攻擊規模與效率大幅提升。

從多起事件調查與攻擊手法研究來看，李庭閣表示，TeleBoyi與APT41、Earth Berberoka、SLIME40有緊密的關連。此外，TeamT5也確實觀察到，過去中國國家級駭客組織的行動是相對獨立，但2024出現更多合作的跡象，將讓企業組織受到的威脅變更嚴峻。

電信業被鎖定國家級駭客鎖定的狀況，在2024年明顯大增

至於臺灣電信業是否遭駭的狀況，國內企業與民眾也相當關注，在2025年1月，臺灣國安局發布的中共網駭手法分析報告，也呈現這方面的嚴重性。

從中共駭客攻擊目標來看，國安局指出，我國通訊傳播領域的狀況最為嚴重，遭受攻擊較2023年度增加650％，在所有產業中增幅最大。緊隨其後的是交通與國防供應鏈，對照2023年度的增長比例各為70％、57％。

綜觀上述各項消息，突顯國家級駭客鎖定電信業的情況，已經持續多年，並在2024年呈現爆發的態勢，不只許多國家面臨這樣的威脅態勢，我國8大關鍵基礎設施中的通訊傳播領域，同樣也正面臨著極大考驗。

 因應電信業遭駭，美CISA提出行動通訊8大防護重點 

1. 僅使用具E2EE加密的通訊軟體

2. 啟用基於FIDO標準的抗網釣MFA

3. 請遠離基於SMS的MFA

4. 使用密碼管理工具

5. 設定電信PIN碼

6. 定期更新軟體

7. 從手機製造商取得最新韌體版本

8. 不要使用個人VPN服務

資料來源：美國CISA，iThome整理，2025年1月