「鹽颱風」揭示的數位戰場:中共全球滲透與聯盟化防禦的新挑戰
關鍵字:鹽颱風
(本評析內容及建議,屬作者意見,不代表財團法人國防安全研究院立場)
美國、澳洲、加拿大、紐西蘭、英國等13國、23個單位8月底一同發布《聯合網路安全聲明》(Joint Cybersecurity Advisory),[1]旨在「打擊由中國政府支持、破壞全球網路以支援其全球間諜活動的駭客組織」(Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System),指出「鹽颱風」(Salt Typhoon,或被稱OPERATOR PANDA, RedMike, UNC5807, GhostEmperor)是一場由中國政府資助、歷時多年的大規模網路攻擊行動,滲透全球80多個國家,攻擊範圍涵蓋電信、政府、軍事、交通、住宿等基礎設施,影響幾乎所有美國人,竊取全球政界人士、間諜及活動人士的資料。就「鹽颱風」駭客行動的技術分析與應對措施如次:
中共駭客攻擊模式:已知漏洞×長期潛伏
中共的駭客攻擊大多是針對「已知、公開卻尚未修補的漏洞 (Common Vulnerabilities and Exposures, CVE)」來發動攻擊,而不是靠罕見的未知漏洞「零日攻擊」(zero-day vulnerabilities),主要針對各類邊界設備(VPN、防火牆、路由器)。攻擊流程自「初始入侵」(Initial Access)開始,駭客便著手建立「持久性」(Persistence),透過修改設備設定或植入隱藏後門,確保長期控制受害系統;隨後利用非標準連接埠(Non-standard Ports)、內建功能及容器技術隱匿行動,使惡意流量混入正常網路活動中而難以偵測。接著,攻擊者竊取管理憑證與配置資料進行「橫向移動與收集」(Lateral Movement & Collection),滲透更多內部系統或網路設備,最終透過加密隧道或網路互連,將資料混入正常流量中「外洩」(Exfiltration),降低被發現的風險。由於攻擊具有高度隱蔽性與長期性,傳統防護與監控手段難以及時偵測,對資安防護構成重大挑戰。
防禦指南:從主動預防到全面清除
這份聯合聲明主要是提醒關鍵基礎設施(Critical Infrastructure, CI)的防禦者(尤其是電信業者)要採取主動防禦思維,因為進階持續性威脅(Advanced Persistent Threat, APT)攻擊者往往不是「一次性」的入侵,而是會長期潛伏在網路中,透過各種方式維持控制權。如果僅針對單一異常進行清除,駭客很可能依舊留有後門,因此必須全面盤點、同步清除,才能真正驅逐威脅。整體重點可分為三個層次:
一、防禦策略層面
要優先修補已知漏洞,並妥善規劃清除順序,以避免打草驚蛇讓駭客提前反應,同時確保事件回應流程符合法規,包括資料外洩的通報義務,並在過程中妥善保護調查細節,避免駭客察覺並進行反制。
二、搜尋與監控層面
(一)網路與帳號設定檢查:包括路由表(Routing Table):決定資料傳送路徑的「地圖」;網路存取控制清單(Access Control List, ACL):規定誰能進入哪些資源的「出入名單」;帳號權限(Accounts & Privileges):各帳號所擁有的權限等級。
(二)異常行為與可疑線索:包括虛擬化容器(Container):駭客可能藏匿惡意程式的迷你獨立環境;非標準連接埠(Non-standard Ports):駭客避開監控的「秘密入口」;可疑的加密網路傳輸協定(Secure Shell, SSH)或超文本傳輸安全協定(HyperText Transfer Protocol Secure, HTTPS)行為:例如異常來源、時間或登入頻率。
(三)完整性驗證與流量分析:包括韌體完整性比對:檢查設備的「說明書」是否與官方原版一致;雜湊值檢查:驗證設備的「DNA 指紋」確認未被竄改;事件日誌(Event Log)與流量分析;檔案傳輸協定(FTP)、登入驗證系統(TACACS+)、原始封包記錄(PCAP)、跨路由器登入(Router-to-Router Logins)等異常活動。
三、 應變層面
若發現惡意行為,應先完整蒐集證據,再協調一致行動清除,以確保驅逐過程不會被駭客提前察覺,同時依規定向資安、執法或監管機構進行通報。
「鹽颱風」攻擊的國安警訊:數位戰場上的全球監控與戰略滲透
「鹽颱風」駭客組織的出現及其大規模攻擊行動,具有深遠且令人警惕的安全意涵。首先,這場跨越80多個國家的長期滲透行動,代表中國網路作戰已從早期單一的商業機密竊取,進化到結合國家戰略、軍事情報與全球影響力投射的複合型態。透過滲入電信業者、網路服務供應商(Internet Service Providers, ISPs)、住宿與交通體系,中國獲取的不僅是靜態數據,更是能夠即時掌握政界人士、軍事人員乃至一般公民的行蹤與通訊內容的能力,[2]顯示傳統「間諜行為」已升級為結構性「數位監控網路」。其次,攻擊範圍之廣、滲透持續之久,顯示中國具備與美國及其盟國相匹敵的網路滲透技術與組織耐力,並藉由民間公司(如報告中點名的「四川聚信」、「北京寰宇天穹」和「四川智信銳捷」)與解放軍的合作模糊國家與企業界線,使得西方傳統的嚇阻與制裁機制更難精準對應。再者,被竊取的大量數據將形成可長期回收利用的情報資產,未來中國可透過大數據分析、人工智慧模型進行比對與預測,逐步構建針對特定人群與目標的「數位人設檔案」,這不僅提高對抗國家在外交、軍事與情報領域的風險,也對民間社會形成持續性安全威脅。
「鹽颱風」攻擊的國安應對:以聯盟化防禦與分層化威懾破解長期潛伏威脅
鹽颱風(及類似由國家支持之APT)代表的不僅是單一事件,而是中共在數位領域追求戰略優勢的系統性行動,其目標係藉由長期滲透國際電信骨幹與營運商設備,累積大規模通信數據與情報能力。[3]面對此一態勢,國安應以「聯盟化防禦、分層化威懾」為核心:第一,與美、英、加、澳、紐等「五眼聯盟」(Five Eyes)、歐洲、日本等國,建立更高頻率的跨國威脅情報共享機制,統一入侵指標(Indicators of Compromise, IoC)、攻擊者戰術技術程序(Tactics, Techniques, and Procedures, TTP)資料庫,減少中共駭客跨國轉移的縫隙;第二,將重大電信事件納入聯合危機演練(包括跨域軍民協調的通訊中斷情景),以測試從偵測、層級通報到外交與經濟反制的整體鏈條,加上透過「數位聯合演習」讓軍方、情報單位與民間網路安全機構共同訓練;第三,在戰略層面明確信息:對外公開歸因與定期發布聯合通報,如同此次聯合聲明,各國應持續點名譴責,可提升透明度並增加施壓中共外交成本,同時避免單一國家承擔全部政治風險。建立一套可持續運作的國際數位安全體系,將網路攻勢的「隱匿優勢」轉換為被揭露與制裁的代價,進而削弱對手透過長期潛伏累積情報的戰略效益。
[1] 13國、23個單位包括:1、美國:國家安全局(National Security Agency, NSA)、網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)、聯邦調查局(Federal Bureau of Investigation, FBI)、國防部網路犯罪中心Department of Defense Cyber Crime Center(DC3);2、澳洲:訊號局之「澳洲網路安全中心」(Signals Directorate’s Australian Cyber Security Centre, ASD’s ACSC);3、加拿大:網路事故響應中心(Centre for Cyber Security, Cyber Centre)、安全情報局(Security Intelligence Service, CSIS);4、紐西蘭:國家網路安全中心(National Cyber Security Centre, NCSC-NZ);5、英國:國家網路安全中心(National Cyber Security Centre, NCSC-UK);6、捷克:國家數位資訊安全局(National Cyber and Information Security Agency, NÚKIB);7、芬蘭:安全情報處(Security and Intelligence Service, SUPO);8、德國:聯邦情報局(Federal Intelligence Service, BND)、聯邦憲法保衛局(Federal Office for the Protection of the Constitution, BfV)、聯邦資訊安全局(Federal Office for Information Security, BSI);9、義大利:對外情報與安全局(External Intelligence and Security Agency, AISE)、對內情報與安全局(Internal Intelligence and Security Agency, AISI);10、日本:國家網路安全辦公室(National Cybersecurity Office, NCO)、警察廳(National Police Agency, NPA);11、荷蘭:軍事情報與安全局(Defence Intelligence and Security Service, MIVD)、情報與安全總局(General Intelligence and Security Service, AIVD);12、波蘭:軍事反情報局(Military Counterintelligence Service, SKW)、外國情報局(Foreign Intelligence Agency, AW);13、西班牙:國家情報中心(National Intelligence Centre, CNI)。 “Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System,” CISA, September 3, 2025, https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-239a.
