中国国家资助黑客团体仍高度活跃 持续发起网络间谍攻击

报告:中国国家资助黑客团体仍高度活跃,持续发起网络间谍攻击 https://t.co/HZO8IJHbYW

— 美国之音中文网 (@VOAChinese)
March 30, 2023

美国一家私人网络安全公司星期四 (3月30日)
在一份新报告中表示,一个很可能由国家资助,并与以往攻击美国政府电脑系统相关的黑客组织仍然“高度活跃”,并且集中精力攻击可能对中国政府和安全机构具有战略利益范围的广泛目标。

美联社报道说,总部位于波士顿的网络安全公司Recorded Future的威胁研究部门Insikt
Group的战略及持续威胁部主任约翰·康德拉 (Jon Condra)
说,这一被称为RedGolf的黑客组织与其他安全公司跟踪的黑客组织APT41和BARIUM高度重叠,被认为要么是同一组织,要么非常紧密相连。

APT是“先进持续威胁”的英语缩写,指一种隐秘持久的黑客袭击过程。APT41这个黑客组织至少在2010年就存在了。

Insikt
Group通过后续跟进以往有关APT41和BARIUM活动及监测曾受到它们攻击目标的报告,在过去两年辨别出一群由RedGolf黑客组织在多次行动中极可能使用过的域名和基础设施。

康德拉在发给美联社的回复中说,“由于与以往报告的网络间谍活动重叠,我们相信这一活动可能是为了情报目的,而不是经济获益。”

中国当局一贯否认从事任何形式的国家资助的黑客活动,反称中国自身是一个网络攻击的主要目标。

中国外交部否认Insikt
Group的指责,称这个公司过去不止一次炮制出所谓中国黑客攻击的虚假信息,是毫无根据的指责,牵强且缺乏专业精神。

美国司法部2020年9月对五名属于APT41的成员提出起诉,指控中国黑客针对美国内外一百多家公司和机构,包括社交媒体和游戏公司、大学和电讯提供商发动网络攻击。

Insikt
Group在分析中发现证据,证明RedGolf在范围广泛的国家和行业中“继续高度活跃”,“针对航空、汽车、教育、政府、媒体、信息技术和宗教团体等”。

Insikt
Group没有点名RedGolf的具体受害者,但是表示能够跟踪出APT41也使用的一款KEYPLUG后门恶意软件针对不同领域的扫描和利用企图。

Insikt说,已经辨认出,RedGolf除了KEYPLUG后门恶意软件,还使用其他几款恶意工具,“所有这些都是许多中国政府资助的威胁团体常用的”。

2022年,美国网络安全公司麦迪安 (Mandiant)
报告说,APT41也使用了KEYPLUG对至少六个美国州政府的网络进行攻击。

根据麦迪安公司的报告,在那次攻击中,APT41利用了18个州使用的动物健康管理的现成商业网站应用程序中以往未知的漏洞。目前已归谷歌所有的麦迪安没有点出哪些州的系统受到了损害。

麦迪安称APT41是“一个多产的网络威胁组织,除了可能不受国家控制的出于经济动机的活动外,还进行中国国家支持的间谍活动。”

网络安全和情报公司使用不同的跟踪方式,常常将它们辨别出的威胁以不同名称命名,但是康德拉说,APT41、BARIUM和RedGold“由于它们线上基础设施、策略、技术和程序上的相近,可能指向同一组威胁行为者或团体”。

Insikt说,“RedGolf是一个尤其多产的中国国家资助的威胁参与者团体,很可能一直活跃了很多年,针对全球范围广泛的行业。该组织已经展示了快速将新报告的漏洞武器化的能力,并且拥有开发和使用大量特制恶意软件系列的历史。”

Insikt Group得出结论说,RedGolf和类似组织通过某些类型的命令和控制服务器使用的
KEYPLUG后门恶意软件,“极有可能继续下去”,并建议客户确保在检测到它们后立即将其阻止。

美国联邦调查局局长克里斯托弗·雷(Christopher
Wray)去年1月底在加州里根总统图书馆发表演讲时,指责北京盗取美国技术和创新,对美国发起大规模黑客行动,称中国政府对西方的威胁比以往任何时候都更具破坏性,是对美国长期经济安全最大的威胁。

“(中国)拥有的黑客项目比其他所有大国的总和还要多。他们最大的目标当然是美国,”雷去年4月底在麦凯恩研究所主办的2022塞多纳论坛上说。

他说,中国对美国构成了最大的反间谍威胁,联调局每12小时就会展开一个新的针对中国的反间谍调查。