黑客(示意图/图片来源:pixabay)
【看中国2019年12月21日讯】12月19日(星期四),荷兰一家网络安全公司发布报告说,一个疑似与中共政府有关联的黑客组织在沉寂数年后卷土重来,一直在攻击外国公司和政府机构,包括美国、英国、法国、德国和意大利等十个国家。
据《彭博社》报导,这群黑客可能属于一个被网络安全部门命名为“APT20”的组织。荷兰网络安全公司Fox-IT说,遭袭击的公司涉及航空、建筑、金融、医疗、保险、博彩、能源等领域。研究人员说,他们有很高的把握可以认定,这些网络活动行为人属于一个中国组织,活动目的是为了满足中共政府的利益。
“很多人以为该组织已消失了,或者不再存在了”,该网络安全公司首席安全专家弗兰克·葛罗尼威根(Frank Groenewegen)说,“但是我们发现,该组织再次在全球从事黑客活动,并且已入侵许多公司。”
报告指出,中共支持的黑客组织进行全球性的间谍活动。Fox-IT的研究人员发现,APT20于2018年夏季开始至少在全球进行了数十起网络攻击,美国、英国、法国、德国、意大利、巴西、墨西哥、葡萄牙和西班牙都难以幸免。
报告说,其运作模式为:在窃取外国公司和政府机构网络的密码后收集数据,并规避受害网站防止此类攻击的两道身份验证的安全程序。
Fox-IT公司已告知可能的被攻击者,并和他们合作清理计算机系统。据葛罗尼威根提供的资料,中国境内至少有一家半导体公司也是被攻击的对象。
Fox-IT确认黑客的身份,至少通过以下几个依据:
首先,网络黑客通常会掩盖自己的足迹,会删除用来入侵计算机窃取数据的工具,但是偶尔会有差错。Fox-IT将监视技术放置入一个受害者的网络中,并收集到了入侵的黑客,正在使用语言设置为简体中文的网络浏览器的数据。
其次,在一个执法机构的帮助下,Fox-IT追踪到到一个网络服务器,APT20曾购买这个服务器,并以此作为其黑客攻击的切入点。Fox-IT还发现,该黑客组织用比特币付款,并提供了一个伪造的美国地址。黑客在“州名”一栏中,留下的是用简体中文书写的“路易斯安那州”。
第三,Fox-IT的安全专家发现,从时间上来看,黑客的活跃时间是从北京时间的上午10点开始,持续8到10个小时,这表明他们在中国的时区开展活动。
最后,Fox-IT的网络安全人员说,他们帮助一个被黑的服务器移除了恶意后门程序后,黑客发现自已行踪暴露,多次发送命令代码但无法进入该服务器后,可能恼羞成怒,打出了一个拼写为“wocao”的命令。Fox-IT说,“wocao”是中文里一句常见的脏话。