中国黑客组织再次发动全球性攻击VPNoverview.com

在对中国网络间谍活动进行调查之后,一家名为Fox-IT的荷兰安全公司今天发布了一份报告。在过去的两年中,全球数十家公司和政府机构的计算机系统遭到攻击。荷兰人高度肯定地认为,中国黑客组织是袭击的幕后黑手.


发现全球网络间谍活动

这项调查名为“ Operation Wocao”(我操,中文为“Wǒcāo”,lang语为“ shit”或“ damn”)的调查历时近两年。荷兰安全研究人员说,所有证据都指向一个名为APT20的中国黑客组织,该组织很可能符合中国政府的利益。.

Fox-IT在2018年夏季发现了该组织的黑客活动,同时为其中一个客户进行了对受损计算机系统的分析。他们能够追踪并发现了同一团体进行的数十次类似攻击.

荷兰人在一份冗长的报告中解释说:“关于我们描述的演员的信息鲜为人知或公开,但我们没有给该演员起自己的别名,而是选择了与行业合作伙伴联系。这有助于我们以中等信心将本报告中某些先前未发布的技术和工具归因于中国威胁参与者APT20。根据观察到的该行为者的受害者,我们还评估了该威胁行为者可能为中国政府的利益而努力。”

目的不是金钱,而是知识

黑客不会偷钱或安装勒索软件。他们纯粹是在寻找对商业敏感的信息和知识,特别是中国政府对此感兴趣的东西。.

在过去几年中,无法确切确定攻击者设法收集了多少数据。众所周知,在2009年至2014年之间,APT20(也称为小提琴熊猫和th3bug)与针对大学,军事,卫生保健组织和电信公司的黑客攻击活动有关.

根据Fox-IT的说法,中国黑客组织已经休眠了好几年。但是,它最近又浮出水面,并悄悄地瞄准了公司和政府机构.

使用的一些新颖技术

该报告概述了荷兰安全研究人员知道APT20使用的技术。最初的访问点通常是易受攻击或已经受到攻击的Web服务器。一旦进入内部,黑客就会使用众所周知的方法在网络中移动。最终,他们可以使用被窃取的凭据通过公司VPN访问受害者的网络.

在一个案例中,黑客组织甚至能够规避旨在防止此类攻击的两因素身份验证形式。为此,黑客开发了一种技术来检索2个因子代码以连接到公司的VPN服务器,并授予自己登录的权限。还发现了其他定制工具。.

接下来,黑客使用几个后门和开源工具进一步渗透到网络中,以手动识别和收集信息。下载数据后,将擦除所有迹线以阻止深入的法医调查,并且关闭后门.

遍布全球的无数受害者

Fox-IT不想提及受害者的名字。但是荷兰人确实列出了APT20活跃的行业清单.

受害者包括航空公司,建筑公司,能源部门,金融机构,卫生保健组织,海上工程公司,软件开发商和运输公司。.

受影响的国家包括巴西,中国,法国,德国,意大利,墨西哥,葡萄牙,西班牙,美国和英国.

中国黑客组织犯的几个错误

在间谍活动中,黑客犯了一些错误,留下了“指纹”.

例如,

  • 有一些泄漏的语言设置,表明黑客正在运行具有中文设置的浏览器.
  • 在注册租用的服务器时,黑客提供了一个不存在的美国地址,但无意中用汉字写了路易斯安那州的名称。.
  • 有一次,黑客使用了只能在中文论坛上找到的代码.

一段时间后,荷兰安全研究人员也开始注意到黑客严格遵守中国办公时间.

Fox-IT调查的名称“ Oocaation Wocao”是黑客执行的命令之一,目的是试图挫败Fox-IT逆转数字入侵后访问已删除的Web外壳的行为。.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map