黑客組織APT10的背景以及其採用的入侵手段被曝光。(圖片來源:Adobe Stock)
【看中國2018年12月22日訊】(看中國記者端木珊綜合報導)美國司法部週四宣布,起訴兩名中國黑客組織APT10的成員朱華(Zhu Hua)和張士龍(Zhang Shilong)。黑客組織APT10的背景以及其採用的入侵手段亦隨之曝光。
APT10黑客乃「國家行為」
根據美國司法部的公告,被告朱華和張士龍是中國黑客組織「高級長期威脅10」(Advanced Persistent Threat 10,簡稱APT10)的成員。二人並與中國國安部天津市國安局合作,參與侵入全球計算機行動超過十年,一直持續到2018年。
二人所屬的APT10在網路安全社區中也被稱為「紅色阿波羅」(Red Apollo)和「石熊貓」(Stone Panda)。
美國貿易代表辦公室(USTR)在上月發布的「301條款」調查更新報告中披露,APT10黑客組織鎖定中共一三五規劃科技政策中所強調的行業,以推進中共創新目標提供有價值的信息。
美國司法部副部長羅森斯坦在記者招待會中表示,朱華和張石龍的行為乃是「國家行為」。根據司法部的起訴書,從2016年到2018年間,APT10組織對至少12個國家的計算機發起了黑客攻擊,並侵入多個企業和美國政府,竊取各類技術信息及數據。
在美國境內,APT10入侵了美國12個州的電腦系統,範圍涉及美國太空署、海軍、銀行、生物科技、製藥等至少45家美國企業或政府機構。APT10還竊取了10萬個海軍人員的個人敏感數據,包括姓名、社會安全號碼、出生日期、工資信息、個人電話號碼以及電子郵件地址。
APT10網路間諜手法曝光
據《紐約時報》消息,黑客組織APT10黑客組織擅長攻克網路防禦,且已多次被美國網路保護公司點名,指其發送意圖在受害者電腦上安裝惡意軟體的釣魚郵件。起訴書公布了APT10的網路間諜手法。
一、利用魚叉式網路釣魚(spear phishing)植入惡意軟體到目標電腦。黑客發送帶附件的電子郵件給既定目標,目標一旦點開郵件即被攻陷。為了誘騙收信人打開郵件附件,中共黑客對郵件的發送人、郵件正文、附件文件名進行偽裝,讓目標以為是由可信的發送人發送,從而放鬆警惕。
中共黑客組織通常使用的惡意軟體包括,特洛伊木馬(RAT 11)變體和Poison Ivy等允許遠程訪問的木馬軟體,此外還有按鍵記錄器,用以竊取用戶名和密碼等。這些惡意軟體自動與APT10組織控制的計算機IP地址的域名進行通信。
二、頻繁掩蓋和快速更改惡意域名。根據起訴書,APT10組織特別使用動態域名系統(DNS)服務商來託管惡意域名,使APT10能夠頻繁、快速地更改與其惡意域名相關的IP地址,而無需調整受害者計算機上已有的惡意軟體或域名。這不僅為APT10提供操作靈活性和持久性,還幫助他們繞過網路檢測。據悉,APT10註冊了約1,300個用於盜竊IT託管服務提供商(MSP)活動的惡意域名。
三、在目標成功安裝惡意軟體之後,APT10指示受感染的計算機系統下載更多的惡意軟體和工具,以進一步侵蝕受害者的計算機。
四、在APT10組織成員在受害者計算機上識別出他們「感興趣」的數據後,就從受感染的計算機上收集文件和信息,並將盜取的文件和信息加密、發回APT10控制的計算機。
五、如果APT10從IT託管服務提供商的計算機竊取到管理憑證,它就會使用這些憑證啟動與被託管服務客戶之間的遠程桌面協議(「RDP」)連接,從而侵入託管服務商及其客戶網路的內部網際網路路,並危及託管服務商及其客戶的那些未安裝惡意軟體的計算機。
根據司法部的起訴書,APT10入侵的託管服務商至少為12個國家的不同公司服務,受害者包括:一家全球金融機構;三家電信和/或消費電子公司;三家商業或工業製造公司;兩家諮詢公司;一家醫療保健公司;一家生物技術公司;一家採礦公司;一家汽車供應商公司以及一家鑽井公司。
六、為防止被檢測或識別,APT10還會進行刪除動作。每次在美國政府或某些安全公司發布公開報告,揭露APT10組織在進行惡意軟體或域名操作後,APT10就會快速修改或放棄了此類黑客攻擊,轉入其它更隱蔽的形式繼續進行活動。