荷蘭一家網路安全公司週四發布報告說,一個疑似與中國政府有關聯的駭客組織在沉寂數年後捲土重來,對至少十個國家的商業組織發動多起網路攻擊。
這群駭客可能屬於一個被網路安全部門命名為「APT20」的組織。荷蘭網路安全公司Fox-IT說, 遭襲擊的公司涉及航空、建築、金融、醫療、保險、博彩、能源等領域。研究人員說,他們有很高的把握可以認定這些網路活動行為人屬於一個中國組織、活動目的是為了支持中國政府的利益。
網路駭客組織「APT20」2009年至2014年期間曾攻擊過世界各地的大學、軍方組織、醫療機構和電信公司。據彭博社報導,沉寂多年後,Fox-IT公司2018年發現這一組織再度活躍,襲擊了美國、英國、法國、德國、意大利、巴西、墨西哥、葡萄牙、西班牙和中國的計算機系統。
報導說,被襲擊的中國公司是一家半導體企業。Fox-IT公司拒絕透露這家公司的名稱。
駭客通過向目標計算機系統植入鍵盤記錄惡意軟件來盜取密碼。該組織還破解過一個RSA數字加密程序。
Fox-IT確認駭客的中國身份,至少通過以下幾個依據:
首先,Fox-IT公司說,儘管駭客試圖掩蓋行踪,通常會刪除他們用來從被攻擊的計算機上竊取數據的工具,但該公司發現,駭客使用的是一款網路瀏覽器在發送HTTP請求時洩露了這款瀏覽器設置的語言包括簡體中文。
第二,Fox-IT公司在執法部門的幫助下追踪駭客的活動,找到了該組織購買的一個網路服務器。調查人員發現,駭客用比特幣支付購買服務器的費用,並提供了一個偽造的美國地址。駭客在「州名」一欄中留下的是用簡體中文書寫的「路易斯安那州」。
第三,從時間上來看,駭客的活躍時間從北京時間的上午10點開始,持續8到10個小時,這表明他們在中國的時區開展活動。
最後,Fox-IT的網路安全人員說,他們幫助一個被駭的服務器移除了惡意後門程序後,駭客發現自己行踪暴露,多次發送命令代碼但無法進入該服務器後,可能惱羞成怒,打出了一個拼寫為「wocao」的命令。Fox-IT說,「Wocao」是中文裡的一句常見髒話。