美国FCC因供应链和网络安全风险全面禁止外国制造路由器进口

美国联邦通信委员会（FCC）周一宣布，由于存在"不可接受"的网络安全和国家安全风险，将禁止进口新的外国制造消费级路由器。

FCC主席布伦丹·卡尔在社交媒体平台X上发帖称，此举旨在保护美国人民和国家依赖的基础通信网络安全。这一决定意味着外国生产的路由器新型号将不再有资格在美国市场销售或推广。卡尔补充说，此举是基于行政部门机构提供的国家安全评估。

为此，所有在外国制造的消费级路由器都已被纳入管制清单，除非获得国防部（DoW）或国土安全部（DHS）的条件性批准，确定其不构成任何风险。

截至目前，获批清单仅包括来自SiFly Aviation、Mobilicom、ScoutDI和Verge Aero的无人机系统和软件定义无线电（SDR）设备。消费级路由器生产商可申请条件性批准。据英国广播公司报道，星链Wi-Fi路由器不受此政策影响，因为它们在美国德克萨斯州制造。

FCC表示："行政部门的评估指出，外国生产的路由器（1）引入了'可能扰乱美国经济、关键基础设施和国防的供应链漏洞'，（2）构成了'可能被利用立即严重破坏美国关键基础设施并直接伤害美国人员的严重网络安全风险'。"

该机构表示，国家和非国家支持的威胁行为者已经利用小型和家庭办公室路由器的安全缺陷入侵美国家庭，破坏网络，进行网络间谍活动，并窃取知识产权。此外，这些设备可能被征用组成大规模网络，用于实施密码喷洒攻击和未经授权的网络访问，以及充当间谍活动的代理。

中国相关的对手如Volt Typhoon、Flax Typhoon和Salt Typhoon也被观察到利用由外国制造路由器组成的僵尸网络对美国关键的通信、能源、交通和水利基础设施进行网络攻击。

国家安全评估文件指出："在Salt Typhoon攻击中，国家支持的网络威胁行为者利用被攻陷的外国生产路由器作为跳板，嵌入并获得对某些网络的长期访问权限，并根据目标转向其他网络。"

美国政府还重点提及了一个名为CovertNetwork-1658（又称Quad7）的僵尸网络，该网络被用于策划高度隐蔽的密码喷洒攻击。据评估，这一活动是由被追踪为Storm-0940的中国威胁行为者实施的。

值得注意的是，管制清单的更新不会影响客户继续使用已购买的路由器。也不会影响零售商，他们可以继续销售、进口或推广此前通过FCC设备授权程序批准的路由器型号。

国家安全评估文件表示："不安全的外国生产路由器是攻击者的主要目标，在最近的多起网络攻击中被用作黑客获得网络访问权限并将其用作攻击关键基础设施跳板的工具。外国制造路由器给美国网络和关键基础设施带来的漏洞是不可接受的。"

路由器一直是网络攻击的有利可图目标，因为它们是互联网接入的主要通道。被攻陷的路由器可能允许威胁行为者进行网络监控、窃取数据，甚至向受害者传递恶意软件。2014年，记者格伦·格林沃尔德在其著作《无处可藏》中指控，美国国家安全局（NSA）例行拦截路由器，在美国制造商出口前植入后门。

Q&A

Q1：FCC为什么要禁止外国制造的路由器？

A：FCC认为外国制造的路由器存在"不可接受"的网络安全和国家安全风险。这些设备可能引入供应链漏洞，被威胁行为者利用入侵美国家庭、破坏网络、进行间谍活动和窃取知识产权，甚至被组成僵尸网络攻击关键基础设施。

Q2：这个禁令会影响已经购买的路由器吗？

A：不会。该禁令不影响客户继续使用已购买的路由器，也不影响零售商继续销售此前通过FCC设备授权程序批准的路由器型号。禁令主要针对新型号的外国制造路由器进入美国市场。

Q3：哪些路由器可以豁免这个禁令？

A：目前获得条件性批准的设备很少，主要包括SiFly Aviation等公司的无人机系统和软件定义无线电设备。星链Wi-Fi路由器因为在美国德克萨斯州制造而豁免。外国路由器生产商可以向国防部或国土安全部申请条件性批准。