荷蘭一家網絡安全公司星期四(12月19日)發布報告說,一個疑似與中國政府有關聯的黑客組織在沉寂數年後捲土重來,對至少十個國家的商業組織發動多宗網絡攻擊。
這群黑客可能屬於一個被網絡安全部門命名為“APT20”的組織。荷蘭網絡安全公司Fox-IT說, 遭襲擊的公司涉及航空、建築、金融、醫療、保險、博彩、能源等領域。研究人員說,他們有很高的把握可以認定這些網絡活動行為人屬於一個中國組織、活動目的是為了支持中國政府的利益。
網絡黑客組織“APT20”2009年至2014年期間曾攻擊過世界各地的大學、軍方組織、醫療機構和電信公司。據彭博社報導,沉寂多年後,Fox-IT公司2018年發現這一組織再度活躍,襲擊了美國、英國、法國、德國、意大利、巴西、墨西哥、葡萄牙、西班牙和中國的計算機系統。
報導說,被襲擊的中國公司是一家半導體企業。Fox-IT公司拒絕透露這家公司的名稱。
黑客通過向目標計算機系統植入鍵盤記錄惡意軟件來盜取密碼。該組織還破解過一個RSA數字加密程序。
Fox-IT確認黑客的中國身份,至少通過以下幾個依據:
首先,Fox-IT公司說,儘管黑客試圖掩蓋行踪,通常會刪除他們用來從被攻擊的計算機上竊取數據的工具,但該公司發現,黑客使用的是一款網絡瀏覽器在發送HTTP請求時洩露了這款瀏覽器設置的語言包括簡體中文。
第二,Fox-IT公司在執法部門的幫助下追踪黑客的活動,找到了該組織購買的一個網絡服務器。調查人員發現,黑客用比特幣支付購買服務器的費用,並提供了一個偽造的美國地址。黑客在“州名”一欄中留下的是用簡體中文書寫的“路易斯安那州”。
第三,從時間上來看,黑客的活躍時間從北京時間的上午10點開始,持續8到10個小時,這表明他們在中國的時區開展活動。
最後,Fox-IT的網絡安全人員說,他們幫助一個被黑的服務器移除了惡意後門程序後,黑客發現自已行踪暴露,多次發送命令代碼但無法進入該服務器後,可能惱羞成怒,打出了一個拼寫為“wocao”的命令。Fox-IT說,“Wocao”是中文裡的一句常見髒話。
