Chinese hackers have targeted Southeast Asia and India with specially crafted emails, written in recipients’ native languages, with documents that appear legitimate but contain malware.
美國互聯網安全公司FireEye的報告表示,在逾十年的時間里,一個似乎由中國政府支持的黑客組織一直在從記者、異見分子、及外國企業處竊取信息。
該公司表示,該組織最大的特點,在於它能在如此長的時間內不被偵查到,並能對並未連上互聯網的“物理隔離”(air gap)網絡發動技術上十分復雜的攻擊。
根據FireEye的說法,一份周一發布的報告中公開了相關攻擊手法的細節,這些細節主要是根據對一個惡意軟件的分析得出的。自2004年以來,該惡意軟件被該黑客組織用於竊取信息。
FireEye將該黑客組織稱為APT30組織。FireEye表示,APT30組織是該公司跟蹤研究的十幾個黑客組織之一,也是20個被該公司稱為可能由中國政府控制的組織之一。
FireEye首席技術官布賴斯•博蘭(Bryce Boland)表示,根據這些黑客的“受害人分佈模式”,他相信中國政府參與了此事。博蘭表示,該組織一直在“以政府和軍事機構為目標、以涉及中國經濟利益的經濟部門為目標”,竊取“與中國有關的記者、異見人士及政治運動方面的”信息。
出於安全原因,FireEye拒絕點明該組織的攻擊目標或其網絡攻擊的受害者。該組織所用惡意軟件的工作方式,是通過一種“魚叉式網絡釣魚”(spear phishing)方式,感染目標電腦。在這種魚叉式網絡釣魚攻擊方式中,攻擊者會從原本可信的來源,向目標發送電子郵件。
根據FireEye提供的該惡意軟件的屏幕截圖,該程序的中文名稱為“網絡神鷹遠程控制系統”,其編碼方式針對的是中文用戶。這些截圖還以給出了軟件開發者的QQ聯系方式。QQ是中國極受歡迎的一種消息應用軟件。
不過,在英國《金融時報》聯系該QQ用戶時,該用戶否認與該惡意軟件有關,並堅稱這些聯系方式一定是被盜了。該QQ用戶拒絕回答更多問題,並立刻下線了。
該惡意軟件還包括了十分復雜的工具軟件,用來向“物理隔離”的網絡滲透。這一滲透過程是通過感染USB盤實現的,受感染後的USB盤可能會把病毒從受感染電腦上轉移至物理隔離的電腦上。所謂“物理隔離”網絡,是指那些並未與互聯網連接的安全網絡。
博蘭表示:“這種攻擊方式顯示,對方在處心積慮攻擊更敏感的政府網絡、尤其是軍事性網絡和物理隔離網絡。雖然這種攻擊物理隔離網絡的能力並非獨一無二,但它絕不是常見現象。”
博蘭表示,目前已知的唯一一起對物理隔離網絡的成功攻擊,是2007到2008年間源自俄羅斯的一次對美國國防部的攻擊。
他說,FireEye並無證據顯示APT30曾成功攻破過物理隔離網絡。“不過,該組織已運作了近十年而未被偵測到,表明他們已取得了一定程度的成功。”
他說,奇怪的是,APT30自2004年以來從未更換過這一惡意軟件,該組織似乎還以輪班的方式工作。“這個機構正在運行中並且基本就是個官僚機構……該組織運作了近十年都未被發現,甚至到了需要更新其軟硬件設備的地步。對我們來說,發現這樣的組織並不常見。”
馬芳婧 補充報道
譯者/何黎
沒有留言:
張貼留言