資料照:一名化名為王子的中國黑客是「紅色黑客聯盟」成員,在廣東東莞的辦公室里監察全球網絡攻擊。(2020年8月4日)
美國一家私人網絡安全公司星期四(3月30日)在一份新報告中表示,一個很可能由國家資助,並與以往攻擊美國政府電腦系統相關的黑客組織仍然「高度活躍」,並且集中精力攻擊可能對中國政府和安全機構具有戰略利益範圍的廣泛目標。
美聯社報導說,總部位於波士頓的網絡安全公司Recorded Future的威脅研究部門Insikt Group的戰略及持續威脅部主任約翰·康德拉(Jon Condra)說,這一被稱為RedGolf的黑客組織與其他安全公司跟蹤的黑客組織APT41和BARIUM高度重疊,被認為要麼是同一組織,要麼非常緊密相連。
APT是「先進持續威脅」的英語縮寫,指一種隱秘持久的黑客襲擊過程。APT41這個黑客組織至少在2010年就存在了。
Insikt Group通過後續跟進以往有關APT41和BARIUM活動及監測曾受到它們攻擊目標的報告,在過去兩年辨別出一群由RedGolf黑客組織在多次行動中極可能使用過的域名和基礎設施。
康德拉在發給美聯社的回覆中說,「由於與以往報告的網絡間諜活動重疊,我們相信這一活動可能是為了情報目的,而不是經濟獲益。」
中共當局一貫否認從事任何形式的國家資助的黑客活動,反稱中國自身是一個網絡攻擊的主要目標。
中共外交部否認Insikt Group的指責,稱這個公司過去不止一次炮製出所謂中國黑客攻擊的虛假信息,是毫無根據的指責,牽強且缺乏專業精神。
美國司法部2020年9月對五名屬於APT41的成員提出起訴,指控中國黑客針對美國內外一百多家公司和機構,包括社交媒體和遊戲公司、大學和電訊提供商發動網絡攻擊。
Insikt Group在分析中發現證據,證明RedGolf在範圍廣泛的國家和行業中「繼續高度活躍」,「針對航空、汽車、教育、政府、媒體、資訊技術和宗教團體等」。
Insikt Group沒有點名RedGolf的具體受害者,但是表示能夠跟蹤出APT41也使用的一款KEYPLUG後門惡意軟體針對不同領域的掃描和利用企圖。
Insikt說,已經辨認出,RedGolf除了KEYPLUG後門惡意軟體,還使用其他幾款惡意工具,「所有這些都是許多中國政府資助的威脅團體常用的」。
2022年,美國網絡安全公司麥迪安(Mandiant)報告說,APT41也使用了KEYPLUG對至少六個美國州政府的網絡進行攻擊。
根據麥迪安公司的報告,在那次攻擊中,APT41利用了18個州使用的動物健康管理的現成商業網站應用程式中以往未知的漏洞。目前已歸谷歌所有的麥迪安沒有點出哪些州的系統受到了損害。
麥迪安稱APT41是「一個多產的網絡威脅組織,除了可能不受國家控制的出於經濟動機的活動外,還進行中共國家支持的間諜活動。」
網絡安全和情報公司使用不同的跟蹤方式,常常將它們辨別出的威脅以不同名稱命名,但是康德拉說,APT41、BARIUM和RedGold「由於它們線上基礎設施、策略、技術和程序上的相近,可能指向同一組威脅行為者或團體」。
Insikt說,「RedGolf是一個尤其多產的中共國家資助的威脅參與者團體,很可能一直活躍了很多年,針對全球範圍廣泛的行業。該組織已經展示了快速將新報告的漏洞武器化的能力,並且擁有開發和使用大量特製惡意軟體系列的歷史。」
Insikt Group得出結論說,RedGolf和類似組織通過某些類型的命令和控制伺服器使用的 KEYPLUG後門惡意軟體,「極有可能繼續下去」,並建議客戶確保在檢測到它們後立即將其阻止。
美國聯邦調查局局長克里斯多福·雷(Christopher Wray)去年1月底在加州里根總統圖書館發表演講時,指責北京盜取美國技術和創新,對美國發起大規模黑客行動,稱中國政府對西方的威脅比以往任何時候都更具破壞性,是對美國長期經濟安全最大的威脅。
「(中共)擁有的黑客項目比其他所有大國的總和還要多。他們最大的目標當然是美國,」雷去年4月底在麥凱恩研究所主辦的2022塞多納論壇上說。
他說,中共對美國構成了最大的反間諜威脅,聯調局每12小時就會展開一個新的針對中國的反間諜調查。
