多國遇攻擊 中國軍方被指與一款新型黑客軟件有關
多國遇攻擊 中國軍方被指與一款新型黑客軟件有關
今年1月3日早上,一封來自印尼駐澳使館的電子郵件發給了澳大利亞總理斯科特·莫里森(Scott Morrison)手下一名負責健康和生態問題的工作人員。郵件附有一份Word文檔,這沒有立刻引起懷疑,因爲收件人認識假定的發件人。
附件裏包含了一個名叫Aria-body的隱形網絡攻擊工具,這個工具以前從未被查出過,它具有令人擔憂的新功能。使用這個工具遠程控制計算機的黑客能複製、刪除或創建文件,並對計算機上的數據進行大範圍的檢索,而且,這個工具運用了新方法來掩蓋自己的蹤跡,以免被發現。
現在,以色列的一家網絡安全公司已確定,Aria-body是一個名爲Naikon的黑客團體使用的武器,該團體的蹤跡此前已被追溯到中國軍方。據這個名爲檢查點軟件技術有限公司(Check Point Software Technologies)週四發佈的一份報告,該工具被用來攻擊的目標遠不止澳大利亞總理辦公室。
據“檢查點”稱,在此前的幾個月裏,Naikon使用這個工具攻擊了印尼、菲律賓、越南、緬甸和文萊的政府機構和國有科技公司。“檢查點”說,這些攻擊凸顯出中國對鄰國進行網絡間諜活動的廣度和高水平。
“Naikon團體一直在進行一項長期行動,並在行動期間一次又一次地更新其新的網絡武器,建立了廣泛的進攻性基礎設施,並努力滲透亞太地區的許多政府,”“檢查點”的網絡威脅情報組負責人勞特姆·芬克爾斯坦(Lotem Finkelstein)說。
“檢查點”和其他研究中國網絡間諜活動的專家說,這些攻擊之所以如此令人擔憂,是因爲Naikon團體的新工具Aria-body的入侵能力。
Aria-body可以滲透任何用來打開嵌入它的文件的計算機,並馬上讓機器服從黑客的指令。這可能包括建立一條祕密的、難以查出的通信線路,讓目標計算機上的數據通過這條線路流向攻擊者使用的服務器。
這個工具還可以複製目標用戶的打字,這意味着,如果那個澳大利亞攻擊未被查出的話,這個工具就會讓控制它的人實時看到總理辦公室裏的工作人員在寫什麼。
澳大利亞政府一直在對中國干預的擔憂進行激烈的內部辯論,但沒有立即回覆有關上述報告的問題。
“我們知道,中國可能是對澳大利亞進行網絡間諜活動的最大來源,其行動規模遠遠超過任何其他地方,”澳大利亞戰略政策研究所(Australian Strategic Policy Institute)執行主任彼得·詹寧斯(Peter Jennings)說,他曾任澳大利亞國防官員。
在這類批評面前,北京近年來一直堅稱,它反對任何形式的網絡攻擊,而且中國政府和軍隊不參與竊取商業機密的黑客活動。
中國的網絡間諜活動在全球範圍內毫無減弱的跡象,而且隨着中國在貿易、技術,以及最近新型冠狀病毒大流行病方面與澳大利亞、美國和其他國家的爭端升級,其網絡間諜活動可能正在加劇。專家說,中國的目標是竊取外國政府和公司的大量數據。
“工具在設計上可能有所不同,但這些攻擊的目的都是一樣的,”美國前外交官、一本關於中國間諜活動的新書的作者馬修·巴拉茲爾(Matthew Brazil)說,他指的是Aria-body。
據“檢查點”的報告,使用Aria-body的黑客成功地控制了印尼駐澳大利亞首都堪培拉大使館的一名外交官的計算機。黑客找到了這名外交官沒寫完的一份文件,將其完成後,配上Aria-body工具發給了澳大利亞總理辦公室的工作人員。
這次攻擊之所以被發現只是因爲一個簡單的人爲錯誤。
發電子郵件的黑客把郵件發到了一個錯誤地址。“檢查點”報告的作者寫道,總理辦公室的服務器將郵件退回,並附了一個“收件地址不存在”的解釋,這個傳輸才引起了對原郵件存在可疑之處的懷疑。由此所做的調查揭示了這次未遂攻擊——及其使用的新武器。
美國網絡安全公司ThreatConnect此前調查過Naikon。這家公司曾於2015年發佈了一份關於Naikon與中國人民解放軍關係的廣泛報告。
據ThreatConnect的報告,這個黑客團體似乎隸屬於中國人民解放軍第二技術偵察局78020部隊,主要駐紮在中國南方城市昆明。據稱,該黑客團體負責中國在東南亞和南中國海的網絡行動和技術間諜活動。中國在南中國海與鄰國存在領土爭端。
俄羅斯網絡安全公司卡巴斯基實驗室(Kaspersky Lab)的一份報告稱,該黑客團體是亞洲最活躍的“高級持續性威脅”之一。安全專家經常用此說法來描述長期從事入侵活動、有政府背景的黑客。
2015年的報告將Naikon的主要網絡武器公之於衆後,這個黑客團體似乎消失了。前外交官巴拉茲爾指出,自那以後,中國重組了自己的網絡間諜力量,將一部分活動從中國人民解放軍轉移到了國家安全部,實際上是將黑客的職責按照軍事情報或外交與經濟間諜進行了劃分。
“檢查點”的報告暗示,Naikon可能仍在活動,儘管還不清楚它是否已經從軍事部門剝離出來。
據“檢查點”報告,自2019年初以來,這個黑客團體已加快了擴大其在線基礎設施的努力。它從中國的科技公司阿里巴巴購買了服務器空間,並在美國網絡託管公司GoDaddy上註冊了域名。
在一個案例中,Naikon強佔了菲律賓科技部的一個服務器,並利用其來掩蓋Naikon攻擊的發源地,讓攻擊看起來像是來自那個服務器。
這個黑客小組通過將Aria-body隱藏在Word文檔和安裝微軟Office程序的文件中入侵計算機。使其難以被查出的是,這個工具隱藏自己的能力比其他這類工具更有效。
Aria-body可以像寄生蟲一樣附着在各種類型的文件上,因此它沒有固定的活動模式。操縱這個工具的人可以遠程更改其部分代碼,所以,在攻擊了一臺計算機後,Aria-body在入侵下一臺機器時看上去可能會不同。對安全調查人員來說,固定活動模式是他們通常尋找的問題跡象。
“人們有時沒有看到中國在全球範圍進行黑客攻擊所具有的強大能力,”澳大利亞前國防官員詹寧斯說。“他們有成千上萬的人在他們的信號情報部門和國家安全部工作。中國有能力也有早已表現出來的意圖,打入其認爲能獲取有用信息的任何地方。”
“檢查點”沒有透露其表示已被Naikon滲透的所有目標,但表示這些目標包括大使館、政府部門,以及從事科技業務的國有企業。
“在整個研究過程中,我們發現,該黑客團體調整了其特徵武器,以便在被其滲透的政府部門用名字搜索特定文件,”“檢查點”專家芬克爾斯坦說。“這一事實本身就加強了這樣一種理解,即存在一個重要的、計劃周密的基礎設施和行動前情報收集。”
