资料照片:网络攻击监督部门的工作场景(2013年2月28日)
最新调查发现,与中共军方有牵连的骇客组织过去五年中利用新的后门技术对东南亚国家的政府部门进行网络攻击渗透,窃取秘密信息。
这个骇客组织被称为乃康高级持续性威胁(Naikon Advanced Persistent Threat,简称乃康APT)。总部位于以色列的安全点(Check Point)跨国网络安全公司7日说,他们发现乃康APT过去五年中利用先进后门恶意软件对包括澳大利亚、印度尼西亚、菲律宾、越南、泰国、缅甸和汶莱在内的亚太国家的政府网络发动攻击,窃取机密,重点是外交部、科技部和国营企业。
安全点公司表示,更严重的是,乃康APT并利用这些国家之间的外交关系扩大攻击范围,即攻陷一个国家的政府网络后,用这个网络作为跳板再对其他国家发动攻击。某国驻外使馆就曾在不知情的情况下通过受信任的渠道向所在国家的政府发送已经遭到恶意软件感染的文件,让所在国家的政府网络面临感染的威胁。
乃康APT对这些亚太国家的政府网络使用Aria-body装载器的新的恶意软件,目的是为乃康的指控服务器开启一个后门。一台政府电脑被攻陷后,Aria-body装载器就在启动文件夹或登陆档(registry)中生根,从外部服务器向这台电脑下载一个远程控制木马(trojan RAT)恶意软件,解密后植入这台电脑。
远程木马(trojan RAT)恶意软件可以用来制造或删除文档、进行截图、在文件中搜索获取数据信息,甚至可以记录地点和主人的键盘敲击。
安全点网络安全公司指出,“鉴于受害者的特点以及这个组织展示的能力,这个组织的目的显然是对目标政府所在国家进行情报搜集和监控。这不仅包括从政府部门被感染的电脑和网络中寻找并搜集特定的文件,还能从移动硬盘中获取数据,进行截图并记录键盘敲击,为间谍活动获取数据”。
安全点公司的研究人员对福布斯网站说,“这是我们所报告的由一家中国高级持续性威胁团体所进行的最广泛的作业”,“十分危险”,“这个组织使用了一种新的网络武器,后者的设计是用来广泛搜集情报,同时接受情报官员的指令,在特定的电脑上寻找特定的文件名”。
有报道说,乃康APT这个与中共军方有牵连的骇客组织2015年被美国网络安全公司发现,当时被认为是对南中国海有主权争议的东南亚国家“从事地区电脑网络作业,搜集情报并进行政治分析”,以后陷入了沉寂。
安全点公司就此指出,“乃康APT虽然过去五年中从雷达视线中消失了,可似乎并没有闲着。事实刚好相反。乃康APT利用新的服务器基础设施、装载器不断的变量、无文件(fileless)记忆装载以及一种新的后门,能够防止分析员对他们的活动进行跟踪并发现他们”。
