美國網絡安全公司Trustwave表示,中國銀行推薦客戶安裝的報稅軟體內嵌惡意軟體,這種軟體的複雜程度及不求快速回報的特徵似乎表明,它是由國家層面植入的。
美國NBC電視台周四(6月25日)報導說,今年早些時候,一家中國銀行指示一家在中國開展業務的跨國技術供應商安裝一款軟體,來繳納中國的地方稅。
私人安全公司Trustwave對此報稅軟體進行分析後發現,有一種複雜的惡意軟體被植入該報稅軟體,可以讓攻擊者「完全訪問」該技術供應商的網絡。
惡意代碼非常複雜具有所謂的三層防護
Trustwave周四表示,其將這款惡意軟體命名為「黃金間諜」(GoldenSpy),並警告用戶搜索其內部網絡、查找是否已被嵌入這一惡意軟體。
Trustwave負責威脅檢測和響應的副總裁布萊恩·胡西(Brian Hussey)表示,這是外國公司和個人在中國開展業務時應特別注意的最新例子。胡西之前是美國聯邦調查局(FBI)的網絡專家。
他說:「如果你在中國開展業務,並且有人要求你安裝一些東西,我們建議你提高警惕。」
「我們敦促每個人檢查他們是否受到(這款惡意軟體的)影響。」他補充說。
胡西表示,在他們發現該款惡意軟體後,客戶端網絡中出現了一些可疑的「信標」(beaconing)。
在含惡意代碼的稅收軟體安裝兩小時後、該軟體就被激活,並秘密安裝後門,允許攻擊者可以在用戶網絡上安裝其它惡意軟體。
此外,惡意代碼非常複雜,具有所謂的三層防護。它將自身安裝在網絡的兩個不同位置上,如果刪除了一個,另一個會自動插入;此外,如果前面兩個模塊都被刪除,還有一個所謂的保護器模塊,它將下載、並安裝另一個副本。
胡西說,該軟體會隨機間隔發送信息給遠程伺服器,以逃避檢測。
「黃金間諜」針對在中國開展業務的外國公司
Trustwave周四公布的報告說:「『黃金間諜』針對在中國開展業務的外國公司、具有協調一致的APT持續性威脅特點。」
報告說,該惡意軟體有可能針對在中國開展業務和繳稅的無數家公司,也可能僅針對少數幾個被選中、含重要信息的外國組織。
目前無法確定該軟體的普及程度,除了這家技術/軟體供應商,還有一家大型金融機構也發現「非常相似的事情」。
「我們不知道它(應用範圍)有多廣泛。」胡西說,「我們的客戶是否因為擁有重要信息而成為目標?還是說每個人都是目標?」
他說,該惡意軟體的複雜性及缺乏明顯的尋求快速經濟回報的特徵,似乎表明了罪魁禍首來自國家層面。
Trustwave沒有公布受害者客戶的信息,但有簡單介紹說,受害的技術供應商在美國、英國和澳大利亞國防部門都開展了業務;被植入的惡意軟體於4月份開始活動,因發現得很早,因此無法判斷這是中共政府還是犯罪集團的行為。
美國官員說,中共政府不僅竊取外國的國防秘密,而且還竊取外國智慧財產權來幫助中國公司。
3月份,網絡安全公司FireEye報告說,隨著中美關係惡化,中共網絡經濟間諜活動大幅增加。5月,美國指責中共黑客入侵、企圖獲取中共病毒(冠狀病毒)疫苗研發的最新動態。而中共當局否認從事經濟間諜活動。
