【大纪元2019年02月28日讯】(大纪元记者周行编译报导)2016年11月,总部设在蒙特利尔的国际民航组织(ICAO)遭受了其历史上最严重的网络攻击。这周三(2月27日),CBC刊文披露了涉及这次攻击的骇客及其运作方式。
位于加拿大蒙特利尔的国际民航组织是为全世界制定民用航空标准的联合国机构,是一个与全球航空业个体相联的门户,这个机构的网络被攻破,意味着其全球合作伙伴都陷入困境。
据CBC报导,他们获得的文件显示,这次网络攻击的骇客很可能是“熊猫使者”(Emissary Panda)的成员,这是一个与中共政府有牵连的、复杂而隐秘的间谍组织。
攻击手法
“熊猫使者”的骇客们使用各种方法进入其目标系统,比如攻击网络邮件服务器,或发送包含恶意链接或附件的钓鱼(phishing)电子邮件。虽然目前还不知道骇客具体是如何进入国际民航组织的,但研究“熊猫使者”骇客活动的专家称,这些骇客可能在进入国际民航组织很长时间后,才被发现。
网络安全公司SecureWorks在其2015年关于“熊猫使者”的一份报告中写道,该组织通常在攻入其目标系统后,在里面待相当长的一段时间,然后才开始提取数据。“熊猫使者”利用这段时间找到其它接入点,了解网络的设置方式,并识别重要数据。
然后,骇客在他们侵入的系统内设置“战略网络妥协”,也称为“漏洞”(watering holes)。这些漏洞是他们为将访问该网站的人设置的陷阱。
当国际民航组织的成员国在这网站内查询航空文件时,他们将被注入恶意代码,使骇客可以远程控制这些访问者的电脑。
骇客通过这个方式进入更多的政府或公司的电脑系统后,也会在里面设置“漏洞”。这样,他们就建起了一个“漏洞网”,籍此入侵更多的电脑系统。
网络安全专家费南德斯(José Fernandez)表示,国际民航组织被骇客选中,可能不是因为它是一个薄弱环节,而是因为它身份特别。对国际民航组织的攻击看起来是更大计划的一部分,因为该组织的成员国及航空公司会经常访问这个网站,使这个网站成了中共网络间谍进攻其它目标的“门户”。
骇客“熊猫使者”
“熊猫使者”有很多不同的名字,比如TG-3390、APT 27和Bronze Union。SecureWorks称,他们有理由相信,这个组织是中共政府赞助的。
SecureWorks的报告提到这些理由:“熊猫使者”在中国的工作日最活跃,主要在中国当地时间中午至下午5点;该组织的骇客使用中文搜索引擎百度;骇客的攻击程序,一部分是用中文编写的;这个组织对维吾尔人——中共政府最近在加强打压的少数民族,进行了网络攻击。
“熊猫使者”已经活跃了至少10年,它在北美、南美、亚洲、欧洲和中东都发动过网络攻击。CBC的报导称,他们采访过的多名网络安全专家表示,“熊猫使者”专注于通过“网络间谍”活动,从企业和政府机构的系统中收集数据。
FireEye公司的网络安全顾问Ali Arasteh称,“熊猫使者”的很多活动与中共政府的经济目标相一致,比如它倾向于针对海外的能源、航空、国防和制造业,这些都是中共当局希望获得竞争优势的行业。#
责任编辑:岳怡
