美国联邦调查局（FBI）和加拿大网络中心（Cyber Centre）最新发布的一份公告警告称，一个与中国有关联的组织正在进行网络间谍活动，该组织正在针对全球电信网络。该报告于 2025 年 6 月 20 日发布，指出“盐台风”是一个臭名昭著的中国 APT 组织，利用路由器和其他边缘网络设备中的已知漏洞来窃取敏感数据。

该活动至少从 2 月份开始跟踪，涉及利用网络外围的设备来获得隐藏的访问权限、窃取通信数据并保持长期控制。在一次记录在案的事件中，一家加拿大电信公司的三台网络设备遭到入侵，使攻击者能够拦截通话记录和用户位置。

攻击的工作原理

该组织正在使用 CVE-2023-20198 等漏洞从目标设备中提取配置文件。此 Cisco Web UI 漏洞于 2023 年 10 月首次被发现并被广泛利用，影响了 40,000 多台设备。

根据 FBI 的公告 （PDF），虽然该活动以电信提供商为中心，但所使用的策略可能适用于更广泛的目标。路由器、防火墙和 VPN 设备等边缘设备特别容易受到攻击，尤其是在运行过时的固件或较弱的配置时。

一旦进入，他们就会部署 GRE（通用路由封装）隧道，允许他们通过他们控制下的系统静默路由网络流量。这种技术让他们可以观察或纵通信，同时避免传统的安全检测。

长期间谍活动，而不是快速打击

与旨在快速窃取数据的数据的打砸抢网络攻击不同，Salt Typhoon 似乎专注于安静、长期的监控。这种方法与其他已知的与国家相关的活动一致，这些活动优先考虑战略情报收集而不是金钱收益。

攻击者没有使用零日漏洞。相反，它们依赖于公开已知的漏洞，而这些漏洞通常长期未修补。这使他们能够随着时间的推移构建访问权限，而不会发出警报。

风险因素

FBI 和网络中心警告说，电信网络本质上承载敏感的个人和商业数据。通过破坏处理此流量的设备，攻击者可以深入了解用户行为、物理位置和私人对话。

该咨询建议表明，这些活动可能会继续下去，并可能在未来两年内进一步扩大。

联合警报没有点名除加拿大事件之外受影响的公司，但指出在全球范围内观察到类似活动。因此，敦促组织保护边缘设备，审核网络活动中的恶意活动，并立即应用可用的补丁。