2020年8月4日,廣東省東莞市,中國黑客組織「紅客聯盟」成員瀏覽監測全球網絡攻擊的網站。(Nicolas Asfouri/AFP via Getty Images)
網絡安全公司Sygnia最新報告揭露,一家亞洲電信公司早在四年前就遭到中共駭客(中共黑客)組織滲透。黑客透過入侵家用路由器進入公司內部網絡,並使用多層加密後門與隧道工具,收集了大量敏感信息,攻擊手法猶如俄羅斯套娃,難以偵測。
周一(3月24日),Sygnia在一份報告中表示,該黑客組織被稱為「織葉蟻」(Weaver Ant,又譯編織蟻),他們入侵了合勤科技(Zyxel)製造的家用路由器,以此作為滲透某家「大型電信公司」內部網絡的跳板,並使用多層加密技術,在系統中潛伏長達四年,收集大量敏感信息。
研究人員並未透露這家被入侵的電信公司名稱,也未說明其所在國家。不過,作為黑客入侵跳板的家用路由器,大多由東南亞各國電信商提供給家庭用戶。
種種跡象顯示中共黑客是幕後黑手
Sygnia判定,這項行動應是中共政府支持的黑客所為,理由包括:目標對象的性質、行動目標、黑客的工作時間,以及他們使用了「中國菜刀」(China Chopper)等中共黑客慣用的網頁後門工具。
「中國菜刀」(China Chopper)是一種中共黑客組織常用來遠端存取受害伺服器、竊取信息的工具。在另一起事件的調查中,Sygnia發現了一個早先就曾被「織葉蟻」使用、原已遭停用的帳戶又重新啟用,這個發現促使研究人員展開大規模調查。
調查結果發現,一個「變種的中國菜刀」已潛伏在該公司內部伺服器中長達數年。這款加密版的後門工具,支援AES加密,能繞過網站應用防火牆(WAF)偵測。
此外,黑客還使用了一款名為「INMemory」的全新網頁後門工具,在記憶體中直接執行,避開傳統防毒與偵測系統。
報告中表示,黑客針對「亞洲主要電信業者」,這類目標符合中共對區域基礎設施滲透與搜集情報的模式。
「目標產業與地理位置與中國(中共)的網絡戰略一致。」報告寫道。
此外,本黑客團體攻擊活動大多選在中國的「上班時間」進行,周末與中國節假日幾乎無活動跡象,高度符合中國國內機構上下班規律。此外,黑客還使用了一些被認為是中共黑客常使用的系統漏洞。
Sygnia事件應對主管奧倫‧比德曼(Oren Biderman)表示:「像織葉蟻這類的國家級黑客非常危險,且具有高度持久性。他們的主要目標是滲透關鍵基礎設施,在未被發現前儘可能收集更多信息。」
「織葉蟻在受害網絡中持續活動超過四年,即使歷經多次清除行動,仍能持續活動。他們根據網絡環境的變化調整行動戰術,使其能持續取得系統存取權,並收集敏感信息。」他說。
多層加密如「俄羅斯套娃」的網頁後門
Sygnia指出,織葉蟻設計的網頁後門工具,具有高度隱蔽性,採用多層編碼與加密機制,讓防禦系統難以辨識其真實功能。
其中,INMemory內含的惡意模組會被壓縮、編碼,在執行時才於記憶體中即時解壓與載入。這代表整個攻擊過程幾乎不留任何檔案痕跡,讓防毒軟體與日誌記錄難以察覺。
Sygnia指出,織葉蟻的攻擊行動宛如俄羅斯套娃(Matryoshka),惡意程序被層層加密,需經過特定後門逐層解密後,才會釋放出下一波攻擊模組。
這種設計極度隱蔽,使得研究人員需耗費巨大資源逐層還原、追蹤其行為軌跡。儘管Sygnia已完成一次全面清除行動,但監控顯示,織葉蟻仍在持續嘗試重返該電信公司網絡。
Sygnia表示,他們正持續追蹤該組織的最新行動,並預計將發布後續報告揭露其升級後的工具與手法。
