網站截圖:疑似中國黑客向維吾爾用戶發送的假冒聯合國文件,試圖在其電腦安裝惡意後門程序
以色列網絡安全公司說,疑似來自中國的黑客以「網絡釣魚」的方式不斷試圖入侵某東南亞國家的政府系統。與此同時,黑客還以仿冒聯合國文件的方式試圖盜取中國境內外維吾爾人的計算機系統信息。
以色列「檢查站」(Check Point)軟體技術公司的研究部門「CPR」星期四(6月3日)發表的最新分析報告沒有透露受攻擊的政府部門具體是在哪一個東南亞國家。報告說,黑客假冒成政府雇員,向該國的政府員工發送附有微軟docx文檔的電子郵件。用戶打開這些文檔後,電腦就會從黑客指定的外部伺服器繼續下載包含惡意工具的檔案。
報告說,這一惡意工具叫做「RoyalRoad」(意為「皇家路」),在中國黑客圈中常常使用。該工具利用的是舊版微軟公式編輯器(Microsoft Equation Editor)中的安全漏洞。
CPR的報告說,黑客經過多個步驟,最終在目標用戶的電腦中安裝後門模塊。報告說,這一後門可以刪除、創建、重命名、閱讀、改寫用戶電腦中的文件,獲取電腦信息、獲取電腦螢幕截圖、甚至可以關閉計算機。
CPR的研究人員認為,該黑客組織不斷測試和加強這一攻擊策略,至少用了3年時間。報告說,研究人員有「中度」(medium)到「高度」(high)的信心可以判定,黑客來自中國。
報告說,除了「皇家路」惡意軟體與中國黑客群體的關聯之外,襲擊程序的活動時段符合中國的上班時間;並且在5月1日到5日這段時間內沒有進行任何活動,這可能與中國的勞動節假期有關;此外,後門程序的測試版本檢測聯網狀態的方式是試圖連接中國的百度網站;在網絡安全分析服務網站VirusTotal上,也可以找到從中國上傳的某些後門版本。
稍早前,這家網絡安全公司5月27日發布的另一份研究報告中說,疑似來自中國的黑客用網絡釣魚的方式假冒聯合國文件、引誘中國和巴基斯坦境內的維吾爾人下載和點擊惡意程序和連結。
CPR和卡巴斯基全球研究與分析團隊合作進行的這一調查發現,黑客向維吾爾用戶發送帶有聯合國人權理事會標示的仿冒文件,作為安裝後門程序的媒介。
黑客還將用戶指向一個名為「突厥文化與傳統基金會」的假冒網站,如果用戶點擊網站上的「申請資金」連結,會被要求進行所謂的安全掃描,這一步驟會使黑客獲取用戶系統中的資料。
Check Point網絡威脅情報工作組總監洛特姆·芬克爾斯坦(Lotem Finkelstein)通過電子郵件對美國之音說:「這種攻擊策略的新穎之處在於,黑客利用了襲擊目標那種受迫害的感受來欺騙他們。黑客設計這種攻擊,誘使受害者在進入釣魚網站的慈善基金頁面之前掃描他們的電腦,使他們執行冒充為殺毒掃描程序的惡意軟體。」
芬克爾斯坦說,雖然不能確定有關襲擊是中共政府發動的網絡攻擊,但來自中國民間的可能性很高。
芬克爾斯坦說:「這些年來,尤其是在這個民族主義的時代,我們看到越來越多的民間黑客組織參與到被認為是關乎國家利益的行動中……我們雖不能最終將其指向中國(政府),但可以將其歸咎於中國黑客。因為我們知道,最根本的相關代碼實際上都可以在中文論壇上找到,我們一般認為,政府不會使用的這些東西。」
CPR的報告說,針對維吾爾群體的這一網絡釣魚式攻擊在2020年最為活躍,但目前仍在進行。研究人員說,他們發現黑客正在創建冒充土耳其和馬來西亞政府部門的釣魚網站,這表明,黑客可能計劃在未來對這兩個國家的維吾爾群體展開攻勢。
