NCSC 重申对那些面临中国国家黑客攻击风险的人的指导

就在英国采取最新行动的几天前，NCSC 及其五眼联盟同行，包括美国网络安全和基础设施安全局 (CISA)， 针对伏特台风的活动发布了最新警告是一家中国政府支持的 APT 攻击者，一直大力针对关键国家基础设施的运营商。

这随后 之前二月份的警告，其中五眼机构详细介绍了 Volt Typhoon 以及其他国家支持的 APT（不仅仅是中国的 APT）如何利用受害者网络上现有的合法工具作为其网络攻击链的一部分。

这种经过尝试和测试的技术被广泛称为 靠土地为生，使威胁行为者能够融入“自然发生的”流量并在不被发现的情况下进行离散操作。 通过这种方式，他们可以在不被发现的情况下进行操作，直到受害者采取任何行动时都为时已晚。

Toby Lewis，全球威胁分析主管 暗迹， 说 2023 年对选举委员会的攻击 是离地生活事件的一个很好的例子，其攻击者在其网络中潜伏了一段时间而未被发现。

他告诉《计算机周刊》：“这起最新事件凸显了民族国家黑客如何熟练地融入正常的网络活动。” “唯一的初步迹象是一系列可疑的登录事件——使用传统检测方法没有其他明显的网络入侵迹象。 这是一个有价值的提醒，我们不能再仅仅依赖于从过去的攻击中寻找已知的指标。”

Secureworks 反威胁单位 威胁情报副总裁唐·史密斯补充道：“中国国家支持的网络间谍活动并不是新威胁。 英国和美国多年来一直在谴责这些秘密行动。 从中国的角度来看，网络间谍活动的目的是获取能够推进中华人民共和国议程的信息。

“[However]在过去的几年里，中国人厌倦了自己的行动被曝光并被公开曝光，他们越来越重视网络间谍攻击中的秘密情报技术。 这是 MO 相对于之前“砸抢”名声的改变，但中国人认为这是一种必要的演变，一是让抓捕变得更加困难，二是几乎不可能将攻击归因于他们。

“具体来说，这体现在四个关键领域：混淆的网络； 生活在边缘； 靠土地为生； 并生活在云端。 综合起来，这些策略使得识别恶意活动变得更加困难，但更重要的是使归因变得更加复杂，”他说。