网站截图:疑似中国黑客向维吾尔用户发送的假冒联合国文件,试图在其电脑安装恶意后门程序
以色列网络安全公司说,疑似来自中国的黑客以“网络钓鱼”的方式不断试图入侵某东南亚国家的政府系统。与此同时,黑客还以仿冒联合国文件的方式试图盗取中国境内外维吾尔人的计算机系统信息。
以色列“检查站”(Check Point)软件技术公司的研究部门“CPR”星期四(6月3日)发表的最新分析报告没有透露受攻击的政府部门具体是在哪一个东南亚国家。报告说,黑客假冒成政府雇员,向该国的政府员工发送附有微软docx文档的电子邮件。用户打开这些文档后,电脑就会从黑客指定的外部服务器继续下载包含恶意工具的档案。
报告说,这一恶意工具叫做“RoyalRoad”(意为“皇家路”),在中国黑客圈中常常使用。该工具利用的是旧版微软公式编辑器(Microsoft Equation Editor)中的安全漏洞。
CPR的报告说,黑客经过多个步骤,最终在目标用户的电脑中安装后门模块。报告说,这一后门可以删除、创建、重命名、阅读、改写用户电脑中的文件,获取电脑信息、获取电脑屏幕截图、甚至可以关闭计算机。
CPR的研究人员认为,该黑客组织不断测试和加强这一攻击策略,至少用了3年时间。报告说,研究人员有“中度”(medium)到“高度”(high)的信心可以判定,黑客来自中国。
报告说,除了“皇家路”恶意软件与中国黑客群体的关联之外,袭击程序的活动时段符合中国的上班时间;并且在5月1日到5日这段时间内没有进行任何活动,这可能与中国的劳动节假期有关;此外,后门程序的测试版本检测联网状态的方式是试图连接中国的百度网站;在网络安全分析服务网站VirusTotal上,也可以找到从中国上传的某些后门版本。
稍早前,这家网络安全公司5月27日发布的另一份研究报告中说,疑似来自中国的黑客用网络钓鱼的方式假冒联合国文件、引诱中国和巴基斯坦境内的维吾尔人下载和点击恶意程序和链接。
CPR和卡巴斯基全球研究与分析团队合作进行的这一调查发现,黑客向维吾尔用户发送带有联合国人权理事会标示的仿冒文件,作为安装后门程序的媒介。
黑客还将用户指向一个名为“突厥文化与传统基金会”的假冒网站,如果用户点击网站上的“申请资金”链接,会被要求进行所谓的安全扫描,这一步骤会使黑客获取用户系统中的资料。
Check Point网络威胁情报工作组总监洛特姆·芬克尔斯坦(Lotem Finkelstein)通过电子邮件对美国之音说:“这种攻击策略的新颖之处在于,黑客利用了袭击目标那种受迫害的感受来欺骗他们。黑客设计这种攻击,诱使受害者在进入钓鱼网站的慈善基金页面之前扫描他们的电脑,使他们执行冒充为杀毒扫描程序的恶意软件。”
芬克尔斯坦说,虽然不能确定有关袭击是中共政府发动的网络攻击,但来自中国民间的可能性很高。
芬克尔斯坦说:“这些年来,尤其是在这个民族主义的时代,我们看到越来越多的民间黑客组织参与到被认为是关乎国家利益的行动中……我们虽不能最终将其指向中国(政府),但可以将其归咎于中国黑客。因为我们知道,最根本的相关代码实际上都可以在中文论坛上找到,我们一般认为,政府不会使用的这些东西。”
CPR的报告说,针对维吾尔群体的这一网络钓鱼式攻击在2020年最为活跃,但目前仍在进行。研究人员说,他们发现黑客正在创建冒充土耳其和马来西亚政府部门的钓鱼网站,这表明,黑客可能计划在未来对这两个国家的维吾尔群体展开攻势。
