操作中继盒(ORB)网络已成为威胁行为者用于躲避全球安全团队追踪、掩盖网络攻击的最高级工具之一。
这类隐蔽的网状网络由被攻陷的物联网设备、SOHO(小型办公 / 家庭办公)路由器与虚拟专用服务器组成,协同运作以掩盖恶意活动的真实来源。
ORB 网络通过多个中继节点转发攻击流量,使防护方极难追溯恶意活动源头,给网络安全专业人员带来重大挑战。
2026 年 2 月新加坡网络安全局披露,国家级背景组织 UNC3886 针对该国四大电信运营商 M1、SIMBA Telecom、Singtel、StarHub 发起定向攻击,该威胁由此引发高度关注。
攻击者利用边界防火墙中的零日漏洞,部署高级 rootkit 工具规避检测系统,并维持对关键基础设施的持久访问权限。
Team Cymru 研究人员证实,ORB 网络为攻击者提供了传统手段无法比拟的多项战略优势。
这类网络如同私人住宅代理服务,可让恶意流量与家庭及企业宽带的合法用户流量无缝混杂。
这使得封堵操作风险极高,防护方在试图拦截攻击时,可能会意外中断正常服务。
攻击基础设施与前置部署策略
ORB 网络的抗打击能力源于其分布式架构与动态组成特性。攻击者可通过增减被攻陷设备快速扩容网络,使其极难被彻底关停。
安全团队发现并封堵一个节点后,威胁行为者只需替换为新节点,即可保证攻击活动持续进行,不受重大影响。
ORB 网络的极高危险性在于,攻击者会在实际攻击发起数月前就完成节点前置部署。
攻击者提前搭建这类中继基础设施,可在保障操作安全的前提下,开展侦察与目标边界探测。
攻击者通过地理上靠近目标的节点转发流量,绕过地理围栏管控,使其行为在安全监控系统中更显合法。
安全专家建议机构部署主动威胁狩猎、行为分析与零信任安全模型,抵御这类高级网络攻击。定期更新路由器、监控网络流量、接入高级威胁情报仍是核心防护措施。
消息来源:cybersecuritynews.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
