2018年3月16日,外交部發(fā)言人陸慷主持例行記者會。會上有記者問:據(jù)報道,美國網(wǎng)絡(luò)安全公司 FireEye(火眼)稱中國黑客已掀起針對美國工程公司和軍工企業(yè)的新一輪攻擊,這些公司所從事的業(yè)務(wù)與南海有關(guān)。你能否證實并評論?
陸慷回應(yīng)稱,中方堅決反對并打擊任何形式的網(wǎng)絡(luò)攻擊,不允許任何國家或個人在中國境內(nèi)或利用中國基礎(chǔ)設(shè)施從事網(wǎng)絡(luò)攻擊等非法活動。
FireEye 口中的中國黑客組織
網(wǎng)絡(luò)安全公司 FireEye 發(fā)博文聲稱,中國黑客組織TEMP. Periscope(又名Leviathan)對與南海爭端相關(guān)的美國工程和國防等公司發(fā)起網(wǎng)絡(luò)攻擊,該組織至少自2013年起就開始專注于攻擊多個垂直領(lǐng)域的海事目標(biāo),包括工程企業(yè)、航運、制造業(yè)、國防、政府辦公室以及研究型高校等。除此之外,該組織還將矛頭指向?qū)I(yè)/咨詢服務(wù)、高科技行業(yè)、醫(yī)療保健與媒體/出版等領(lǐng)域。
FireEye 表示其目前確定的受害者主要集中在美國,另外歐洲也有多個機(jī)構(gòu)受影響,甚至中國香港地區(qū)有一個以上的機(jī)構(gòu)也牽涉其中。
黑客組織 TEMP.Periscope 與 TEMP.Jumper 在目標(biāo)定位以及戰(zhàn)術(shù)、技術(shù)與程序(簡稱TTP)方面存在一定交集,而 TEMP.Jumper 與“南海樹(NanHaiShu)”也存在交集。
TEMP.Periscope 所使用的 TTP 與惡意軟件
FireEye在博文中表示,在最近的攻擊活動當(dāng)中,TEMP.Periscope 利用多套疑似各中國網(wǎng)絡(luò)間諜組織所共同使用的大型惡意軟件庫,其中具體包括:
AIRBREAK:一款基于 JavaScript 的后門,亦被稱為“Orz”,能夠從受入侵的合法服務(wù)與網(wǎng)頁當(dāng)中收集配置文件與隱藏字符串,進(jìn)而檢索相關(guān)命令。
BADFLICK:一款后門程序,能夠修改文件系統(tǒng),生成反向 shell 并修改其命令與控制(簡稱C&C)配置。
PHOTO:一款 DLL 后門,亦被稱為“Derusbi”,能夠獲取目錄、文件與驅(qū)動器列表;創(chuàng)建反向 shell;執(zhí)行屏幕截圖;錄制視頻與音頻;列出、終止及創(chuàng)建進(jìn)程;枚舉、啟動并刪除注冊表項與值;記錄鍵盤輸入結(jié)果,從受保護(hù)的存儲介質(zhì)中返回用戶名及密碼;對文件進(jìn)行重命名、刪除、復(fù)制、移動、讀取以及寫入。
HOMEFRY:一款面向64位 Windows 系統(tǒng)的密碼提取器/破解器,其此前曾被連同 AIRBREAK 以及 BADFLICK 后門一起注入目標(biāo)系統(tǒng)。某些字符串會使用 XOR x56 進(jìn)行模糊處理。該惡意軟件可在命令行當(dāng)中接受兩條參數(shù):一條用于為每個登錄會話顯示明文憑證,另一條用于為每個登錄會話顯示明文憑證、NTLM 哈希以及惡意軟件版本。
LUNCHMONEY:一款能夠?qū)⑽募B漏至 Dropbox 的上傳器。
MURKYTOP:一款命令行偵察工具,可用于以不同用戶身份實現(xiàn)文件執(zhí)行、本地移動以及刪除。此外,它還能夠調(diào)度遠(yuǎn)程 AT 作業(yè)、在連接的網(wǎng)絡(luò)上進(jìn)行主機(jī)發(fā)現(xiàn)、掃描已接入主機(jī)上的開放網(wǎng)絡(luò)端口,進(jìn)而檢索該遠(yuǎn)程主機(jī)上的操作系統(tǒng)、用戶、組以及共享信息。
China Chopper:一套簡單的代碼注入 webshell,可在 HTTP POST 命令當(dāng)中執(zhí)行微軟.NET代碼。這意味著該 shell 將能夠上傳與下載文件,使用 Web 服務(wù)器帳戶權(quán)限執(zhí)行應(yīng)用程序,列出目錄內(nèi)容,訪問 Active Directory,訪問數(shù)據(jù)庫以及其它.NET運行過程中所允許的其它操作。
TEMP.Periscope 在過去的攻擊活動中曾經(jīng)使用以下工具,且有可能未來再次使用,但目前尚無相關(guān)重用活動跡象:
Beacon:一款適用于 Cobalt Strike 軟件平臺的商用后門,通常用于對網(wǎng)絡(luò)環(huán)境進(jìn)行滲透測試。該惡意軟件支持多種功能,包括注入與執(zhí)行任意代碼、上傳及下載文件以及執(zhí)行shell命令。
BLACKCOFFEE:一款可將自身流量混淆為指向 GitHub 及微軟 Technet 門戶等合法網(wǎng)站的正常流量的后門。APT17(同樣被認(rèn)為是中國的黑客組織) 曾經(jīng)使用過這款工具。
其它已被發(fā)現(xiàn)的 TTP 包括
魚叉式網(wǎng)絡(luò)釣魚,包括使用可能被盜的郵件賬戶。
利用 CVE-2017-11882 漏洞通過誘餌文件投放惡意軟件。
用于惡意軟件簽名的被盜代碼簽名憑證。
使用 bitsadmin.exe下載其它工具。
使用 PowerShell 下載其它工具。
使用 C:WindowsDebug and C:Perflogs 作為暫存目錄。
利用 Hyperhost VPS 與 Proton VPN 退出節(jié)點以訪問面向互聯(lián)網(wǎng)系統(tǒng)上的 webshell。
利用 WindowsManagement Instrumentation(簡稱WMI)實現(xiàn)持久駐留。
在啟動文件夾中利用 Windows 快捷方式文件(.lnk)調(diào)用Windows Scripting Host(wscript.exe),從而執(zhí)行Jscript 后門以實現(xiàn)持久駐留。
從合法網(wǎng)站/論壇(例如 Github 與微軟 TechNet 門戶網(wǎng)站)的用戶配置文件處接收命令與控制(C&C)指令。
FireEye 表示,TEMP.Periscope 黑客組織使用各種技術(shù)發(fā)起攻擊,包括魚叉式網(wǎng)絡(luò)釣魚電子郵件,其中的鏈接和附件含有惡意軟件,用以進(jìn)入目標(biāo)計算機(jī)網(wǎng)絡(luò)。FireEye 稱,該黑客組織似乎是為了獲取對中國政府有利的信息。
FireEye 的高級分析師弗雷德·普蘭表示,該黑客組織專注于與南海有關(guān)的美國航運實體:TEMP. Periscope 追求的信息主要涉及雷達(dá)探測距離或開發(fā)中的系統(tǒng)檢測海上活動的準(zhǔn)確程度等,可能是利用這類數(shù)據(jù)制定戰(zhàn)略決策,他認(rèn)為這屬于國家間諜活動的行徑一致。普蘭還稱,鑒于這些目標(biāo)組織的類型,TEMP. Periscope 很有可能代表政府發(fā)起行動。
又一次捕風(fēng)捉影
FireEye 雖然稱攻擊疑似來自中國,但并未證實該組織與中國政府有任何關(guān)聯(lián)。FireEye 拒絕透露遭遇攻擊的公司名稱。FireEye 在另一份報告中稱,美國政府辦公室、媒體、學(xué)術(shù)機(jī)構(gòu)、工程和國防公司遭到攻擊。當(dāng)被問及美國海軍是否在目標(biāo)之列,普蘭拒絕做出評論。
美國海軍有時會執(zhí)行所謂的航行自由行動,挑戰(zhàn)中國在南海的活動。外媒報道稱,中國黑客一直在參與南海有關(guān)的其它攻擊,中國黑客2015年在“南海仲裁案”聽證會上通過惡意軟件攻擊了海牙常設(shè)仲裁法院的網(wǎng)站,使之下線。
2014年,美國以竊取美國公司(包括美國西屋電氣公司和美國鋼鐵公司)商業(yè)機(jī)密之名起訴5名中國軍官。時任外交部發(fā)言人秦剛就美國司法部宣布起訴5名中國軍官一事表示,美方捏造事實,以所謂網(wǎng)絡(luò)竊密為由宣布起訴中國軍官,此舉嚴(yán)重違反國際關(guān)系準(zhǔn)則,損害中美合作互信。中方敦促美方立即糾正錯誤、撤銷所謂起訴。中方?jīng)Q定中止中美網(wǎng)絡(luò)工作組活動。
中國外交部一再表示,中美兩國在維護(hù)網(wǎng)絡(luò)安全方面擁有重要共同利益。中方愿與美方繼續(xù)按照雙方2015年達(dá)成的網(wǎng)絡(luò)安全重要共識,利用好兩國間現(xiàn)有的網(wǎng)絡(luò)對話機(jī)制,加強(qiáng)網(wǎng)絡(luò)安全領(lǐng)域的合作。同時,我們希望美方在相互尊重的基礎(chǔ)上同中方相向而行,推進(jìn)相關(guān)領(lǐng)域合作。
-
黑客
+關(guān)注
關(guān)注
3文章
284瀏覽量
21811
原文標(biāo)題:中國黑客組織攻擊美國國防企業(yè)?
文章出處:【微信號:EAQapp,微信公眾號:E安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
評論