中国黑客使用家庭路由器网状网络来伪装攻击

一个名为 APT31（或 Zirconium）的中国网络间谍组织被发现劫持家用路由器，在其服务器基础设施周围形成代理网状网络，以中继和掩饰攻击的来源。在今天发布的安全警报中，法国国家网络安全局，也被称为 ANSSI（Agence Nationale de la Sécurité des Systèmes d'Information），公布了在最近对法国组织的攻击中被 APT31 劫持的 161 个 IP 地址的列表。该机构表示，APT31 攻击始于 2021 年初，并且仍在进行中。法国官员表示，APT31 的代理僵尸网络既用于对其目标执行侦察行动，也用于自己进行攻击。在今天的一系列推文中，微软威胁情报中心的安全研究员 Ben Koehl 表示，APT31 正在使用这个代理网络来制造攻击来自目标组织的国家 IP 地址空间。采取这种策略的原因之一是，作为安全措施，某些组织可能会阻止来自国际 IP 地址的传入流量。另一方面，他们能够从目标国家退出，以_某种程度上_逃避基本的检测技术。

— bk (Ben Koehl) (@bkMSFT) 2021 年 7 月 21 日 ANSSI 官员现在敦促法国和其他国家/地区的公司获取 161 个 IP 地址，并查看今年是否在网络日志中检测到连接，这将表明一个组织可能是 APT31 行动的目标。该机构表示：“在日志中找到其中一个 IOC 并不意味着整个系统已被攻破，需要进一步分析。”根据安全公司 Cyjax 的安全研究员 William Thomas 的说法，IP 地址位于世界各地，并非全部位于法国。 VirusTotal 上还发现了安装在被黑路由器上的 APT31 恶意软件植入副本。 CERT-FR 报告说#APT31 正在使用受损的路由器来针对法国组织：https://t.co/kGFO9P0xRI 我整理了一些图表，展示了已披露的约 160 个 IP 地址：pic.twitter.com/A7XIPe72qf — Will | Bushido (@BushidoToken) 2021 年 7 月 21 日使用家庭路由器创建代理网格以掩盖 Web 攻击来源的操作策略是当今常见的策略。

在大多数情况下，被黑的路由器和物联网设备被组装成僵尸网络，然后出租给网络犯罪集团。这些团体使用僵尸网络作为巨大的代理网状网络来中继各种恶意活动，例如蛮力攻击、漏洞利用、端口扫描操作和携带被盗数据的流量。但是，尽管该策略已被出于经济动机的网络犯罪组织广泛使用，但至少自 2018 年 4 月以来，它也被视为民族国家黑客组织武器库的一部分，当时 Akamai 在关于 UPnProxy 的报告 [PDF] 中提到了 APT 滥用技术。另一方面，APT31 也是两个中国黑客组织之一，连同 APT40，美国及其盟国周一指责今年早些时候策划了针对 Microsoft Exchange 服务器的黑客活动。该记录了解到，APT31 使用由家用路由器组成的代理网格作为扫描互联网的一种方式，然后在今年早些时候发起并伪装其对 Exchange 电子邮件服务器的攻击；然而，该技术也被用于其他操作。