CISA称，与中国有关的黑客入侵了美国政府系统

美国网络安全和基础设施安全局(Cybersecurity And Infrastructure Security Agency)表示，成熟的网络行为者，包括那些隶属于中国国家安全部的网络行为者，没有花费资源开发新的恶意软件工具，而是利用已知的漏洞和开源攻击，并渗透到了联邦政府实体中。

“CISA分析师继续观察表明妥协或持续进入联邦政府网络的信标活动，”该机构周一与联邦调查局一起发布的一份咨询报告写道。CISA隶属于国土安全部，负责监督全国的网络安全。

这份咨询报告列出了中钢协在过去一年观察到的与MSS有关联的中国网络参与者使用的策略、技术和程序。这些问题包括中国政府下属机构-以及其他不同复杂程度的网络行为者-如何能够获得初始访问权限，收集和存储凭证，选择目标和收集信息，以及通过在受到攻击的系统内建立指挥和控制来建设能力。

“这种引导是网络威胁行为者成功完成网络行动的结果，这些行动通常是围绕新出现的漏洞设计的，依赖于现有的攻击工具，”该咨询称。“CISA观察到了从联邦政府IP地址向外发送到威胁参与者的[命令和控制]服务器的活动。”

CISA警告说，复杂的网络威胁行为者正在利用公共资源，如由国家标准与技术研究所(National Institute Of Standards And Technology)维护的国家漏洞数据库，来磨练他们的目标。CISA指出，漏洞数据库以及Shodan等开源工具是防御者的合法工具，但同样，它们也可能被攻击者利用。Shodan是一种互联网搜索引擎，渗透测试者用来查看易受攻击的互联网连接设备。

“在使用这些数据来源时，CISA分析师观察到公开发布漏洞与对被认定为易受攻击的系统进行有针对性的扫描之间存在关联。这种相关性表明，网络威胁行为者还依赖Shodan、(共同漏洞和暴露)数据库、(国家漏洞数据库)和其他开源信息来识别机会目标并计划网络行动。“。

CISA表示，它发现的流量表明，在公开报告后的几周内，与MSS有关联的威胁参与者试图利用某个漏洞进行攻击，而且对手利用漏洞的速度通常比防御机构-政府和商业-修复这些漏洞的速度更快。

CISA表示：“在某些情况下，网络威胁行为者利用相同的漏洞危害了许多部门的多个组织。”“组织缓解已知漏洞的速度似乎没有网络威胁行为者利用它们的速度快。”

CISA和FBI建议各机构检查其系统配置中的错误，并优先考虑修补漏洞，这些漏洞通常被中国MSS附属机构利用，以实现分层的安全效益。

“广泛实施健壮的配置和补丁管理程序将极大地提高网络安全性，”该公告写道。“它还将迫使威胁行为者投入时间和资金来研究未知漏洞，并开发定制的利用工具，从而降低机会主义攻击的速度和频率。”