荷兰一家网络安全公司星期四(12月19日)发布报告说,一个疑似与中国政府有关联的黑客组织在沉寂数年后卷土重来,对至少十个国家的商业组织发动多起网络攻击。
这群黑客可能属于一个被网络安全部门命名为“APT20”的组织。荷兰网络安全公司Fox-IT说, 遭袭击的公司涉及航空、建筑、金融、医疗、保险、博彩、能源等领域。研究人员说,他们有很高的把握可以认定这些网络活动行为人属于一个中国组织、活动目的是为了支持中国政府的利益。
网络黑客组织“APT20”2009年至2014年期间曾攻击过世界各地的大学、军方组织、医疗机构和电信公司。据彭博社报道,沉寂多年后,Fox-IT公司2018年发现这一组织再度活跃,袭击了美国、英国、法国、德国、意大利、巴西、墨西哥、葡萄牙、西班牙和中国的计算机系统。
报道说,被袭击的中国公司是一家半导体企业。Fox-IT公司拒绝透露这家公司的名称。
黑客通过向目标计算机系统植入键盘记录恶意软件来盗取密码。该组织还破解过一个RSA数字加密程序。
Fox-IT确认黑客的中国身份,至少通过以下几个依据:
首先,Fox-IT公司说,尽管黑客试图掩盖行踪,通常会删除他们用来从被攻击的计算机上窃取数据的工具,但该公司发现,黑客使用的是一款网络浏览器在发送HTTP请求时泄露了这款浏览器设置的语言包括简体中文。
第二,Fox-IT公司在执法部门的帮助下追踪黑客的活动,找到了该组织购买的一个网络服务器。调查人员发现,黑客用比特币支付购买服务器的费用,并提供了一个伪造的美国地址。黑客在“州名”一栏中留下的是用简体中文书写的“路易斯安那州”。
第三,从时间上来看,黑客的活跃时间从北京时间的上午10点开始,持续8到10个小时,这表明他们在中国的时区开展活动。
最后,Fox-IT的网络安全人员说,他们帮助一个被黑的服务器移除了恶意后门程序后,黑客发现自已行踪暴露,多次发送命令代码但无法进入该服务器后,可能恼羞成怒,打出了一个拼写为“wocao”的命令。Fox-IT说,“Wocao”是中文里的一句常见脏话。