中共政府花費了近兩年的時間,針對東南亞一個政府部門展開網絡間諜活動,試圖竊取該國在南海爭議問題上的戰略信息。
圖為,2024年5月22日,美國與荷蘭在南海舉行聯合軍演,荷蘭海軍護衛艦卓普號(F803)從沃利‧施艾拉號(T-AKE8)補給艦上獲得補給。(美國太平洋艦隊提供)
全球知名網絡安全公司Sophos的研究人員表示,一次調查使他們發現了這場複雜且持久的網絡間諜活動——針對同一未具名的、備受矚目的東南亞高級政府機構,在該政府機構的網絡中追蹤到了至少三組從2023年3月到2023年12月期間的入侵活動。
根據調查,Sophos非常有把握地斷言,該行動背後的總體目標是維持對目標網絡的訪問權限,以進行網絡間諜活動,從而支持中共的國家利益。
Sophos公司的威脅追蹤和威脅情報總監保羅‧賈拉米洛(Paul Jaramillo)和分析師在聯名的分析文章中寫道,這些不同的集群似乎一直在收集與中共在南海的戰略相關的軍事和經濟情報,以支持中共的國家利益。
他們分析稱,「在這次行動中,我們相信這三個集群代表了不同的攻擊組織,它們在一個中央政府機構的統一指揮下,針對同一目標並行開展行動。」
這些網絡間諜活動包括訪問關鍵IT系統、對特定用戶進行偵察、收集敏感的軍事和技術信息,以及部署各種惡意軟體植入程序以進行指揮和控制(C2)通信。
Sophos發現了一個早在2022年12月就被使用的數據泄露工具,該工具之前被認為是中國黑客組織「野馬熊貓」(Mustang Panda)的「傑作」,但隨後發現多個黑客活動集群協同工作,以竊取數據、獲取憑證以進行更深入的訪問等。
其中兩個黑客集群與中共國家級黑客組織APT15和APT41的一個分支(一些研究人員稱之為「Earth Longzhi」)使用的策略和技術相匹配。
Sophos的研究人員將此次黑客的間諜活動命名為「赤紅宮殿」(Crimson Palace),該活動的目的是偵察和竊取包含「敏感政治、經濟和軍事信息」的文件。
研究人員透露,「目標網絡是一個東南亞國家的高知名度政府機構,眾所周知,該國與中國(中共)在南海領土問題上多次發生衝突。」
南海是一個主權爭議激烈的地區,中共聲稱對幾乎整個南海水域擁有主權,拒絕菲律賓、越南、印度尼西亞和其它國家的主權主張,無視國際社會關於中共主權主張沒有法律依據的裁決。
中共海警局最近制定發布了《海警機構行政執法程序規定》,從6月15日起將貫徹其2021年實施的海警法,允許對涉嫌「侵入」的外國人進行拘留。菲律賓總統小費迪南德‧馬科斯(Ferdinand Marcos Jr.)批評中共當局是在「讓局勢升級」。
Sophos並不是唯一發現中共黑客在南海進行間諜活動的安全公司。
據安全軟體開發公司比特梵德實驗室(Bitdefender Labs)5月22日發布的調查報告顯示,在過去五年,南海周邊至少有8個政府和軍事實體遭到一個據稱與中共「利益一致」的黑客組織的入侵。
與此同時,中共自稱是美國及其盟國網絡攻擊的受害者,並經常否認有關自己發起黑客攻擊的指控。
