04-全球電信網路攻擊趨勢及因應-Sarah Lu

# 全球電信網路攻擊趨勢及因應-Sarah Lu # AI重點摘要 # **📌 一、2024–2025 全球電信網路攻擊趨勢總覽** - **攻擊焦點從 IT 轉向電信核心網**（HSS、LI、Subscriber DB、Orchestration）。 - 駭客具備更深的電信協定知識（SS7、Diameter、GTP、5G SBA）。 - 攻擊具有 **高度商業化**與「國家級攻擊者」參與。 - 「收颱風（Salt Typhoon）」與「UFC1549」成全球最嚴重的兩大電信威脅行動。 - 多國電信商影響重大，部分遭勒索、資料外洩、網路癱瘓。 --- # **📌 二、四大攻擊特徵（全球電信威脅快速升級）** - **核心網攻擊大幅增加**：不再只攻擊企業 IT，而是直擊電信核心設備（HSS/UDM）。 - **超大型 DDoS 成日常**：10 Tbps 等級攻擊已成常態，通常 5 分鐘內反覆觸發。 - **Living-off-the-land（LOTL）攻擊普遍**：63% 電信商遭遇，且 32% 一年超過四次。 - **電信專屬惡意程式激增**：55% 電信商回報遭遇「為電信環境量身打造」的惡意程式。 --- # **📌 三、主要電信攻擊案例（全球）** - **SK Telecom（南韓）USIM 大量外洩事件**（2025）： - 2,695 萬筆 USIM/IMSI/鑰匙外洩。 - 33 種惡意程式（含 BPFDoor）藏於核心 HSS 系統。 - 後果：金融詐騙、身分冒用、政府全面調查、品牌信任受損。 - **北美電信商多日癱瘓事件**（2025）： - 攻擊鎖定 SMS 網路鏈路，造成多日斷訊與緊急服務中斷。 - **紐約市「大型 SIM-server 網路」事件**（2025）： - 查獲大量 SIM Gateway 設備，追查後發現與 SKT 外洩資料高度重疊。 - **拉美、東南亞電信商遭大規模勒索**： - 駭客入侵 RAN/Core 以後「調整頻寬設定」進行勒索，造成網路癱瘓。 --- # **📌 四、SK Telecom 案例重點（攻擊鏈解析）** - **初始進入**：推測為 phishing、弱密碼、或軟體漏洞。 - **惡意程式駐留**：BPFDoor、TinyShell 等 30+ 惡意程式躲避偵測。 - **橫向移動**：疑似藉由弱憑證、內部掃描、跳躍至核心 USIM 系統。 - **資料外洩**：IMSI/認證金鑰被長期小批量外洩，避免被偵測。 - **影響**：可能造成 SIM-swap 詐騙、身分盜用、政府罰則、3% 營收罰款風險。 --- # **📌 五、電信安全與 IT 安全的本質差異** - **重點不同**： - IT：保護資料。 - Telecom：確保電信服務不中斷、網路穩定運作。 - **攻擊面完全不同**： - IT：TCP/IP、Web、Endpoint。 - Telecom：RAN、傳輸、核心、漫遊信令（SS7、Diameter、GTP）。 - **工具不同**： - IT：SIEM、EDR、IAM。 - Telecom：Telco XDR、核心網專屬 EDR、Telco PAM。 - **風險不同**： - Telecom 一旦被攻破＝**數百萬用戶受影響、國家關鍵基礎設施中斷**。 --- # **📌 六、零日攻擊（Zero-Day）防禦策略（多層架構）** - **及時 Patch Management**：降低可被利用的攻擊面。 - **EDR / NDR / XDR**：啟用行為分析、核心網專屬偵測能力。 - **網路分段（Micro-Segmentation）**：降低橫向移動可能。 - **Least Privilege & Telco PAM**：強化特權控管。 - **App Whitelisting**：杜絕惡意程式執行。 - **Security Awareness**：減少社交工程風險。 - **Threat Intelligence**：對應國際攻擊行動（如 Salt Typhoon、UFC1549）。 --- # **📌 七、CISA / FCC 電信安全基線建議** - 持續監控流量與日誌變化。 - 嚴格的憑證與修補管理。 - 強化帳號與存取控管。 - 網路分段、ACL、防火牆保護。 - 導入 **Out-of-band Management** 避免管理網路被滲透。 --- # **📌 八、國際觀察與趨勢** - 全球駭客對電信協定愈來愈熟悉（SS7、Diameter、GTP）。 - 電信設備本身也需 E2E 安全設計，不可只保護 IT 端。 - 需跨國分享 Threat Intelligence（如比利時電信的 Signaling Hub）。 - AI 必須用於比對攻擊行為、交叉分析國際情資。 - 未來電信業必須結合 **AI + Threat Intelligence + Core Network EDR** 作為最低標準。 --- # **📌 九、結論** - **電信資料是最高價值攻擊目標**：IMSI、鑰匙、漫遊信令極具商業與國安價值。 - **合規與韌性必須整合**：EDR、XDR、PAM、核心網防護需同時滿足國際規範要求。 - **主動防禦是必要基礎**：24/7 threat hunting、telco-specific EDR 是電信業的「基本配備」。