从多国政府到港台大学 中共黑客触角遍全球

中共针对全球目标发动网攻窃密 美司法部反击(下)

人气 1020

【大纪元2020年09月21日讯】(大纪元记者宋唐报导)多年来,和中共政府有关联的黑客一直在全球作案。美国司法部近日在起诉5名中共黑客之际,也曝光了中共网攻触角范围之广,令人震惊。中共黑客的目标不仅包括各国政府和公司、学术研究机构、非政府组织,还包括海外知名异议人士。

美国司法部9月16日宣布对隶属于代号APT41的中共黑客组织的5名中国籍成员以及2名马来西亚籍外应的指控。他们被指控攻击包括美国在内的一百多家公司及实体,以及监视包括香港人在内的多名异议人士。

从起诉书内容看,5名中共黑客瞄准全球多个领域的目标对象,范围广泛;使用的技术也很专业、高级和复杂,如租用国外的C2服务器,进行“链式攻击”,即通过攻击通信商,来攻击其客户;设置假网页,利用安全漏洞等。

中共黑客除了牟利外,更多对商业机密和政治信息感兴趣,还开发大数据搜集工具,监视异议人士,与中共网攻模式合拍。

被起诉的5名中共黑客,分别是成都404公司的蒋立志、钱川、付强,以及有时单干、有时与其合伙的黑客张浩然、谭戴林。

以下根据美国司法部发布的对成都404公司(成都市肆零肆网络科技有限公司)黑客同伙的起诉书,详解中共黑客团伙的作案手段和目标,上篇通过黑客之间的对话,曝光其“链式攻击”作案手法。

下篇(本文)则揭示遭受中共黑客攻击的全球各个受害者,从多国政府机构到跨国公司,再到港台大学和香港民主人士等,都成为被美国起诉的5名中共黑客的目标。

入侵美国、香港和台湾大学 盗取数万照片

黑客同伙入侵美国、香港、台湾的十几所著名大学的电脑,其中包括:“美国大学 #4”、“美国大学 #5”、“香港大学 #6”、“香港大学 #7”、“台湾大学 #8”。

“美国大学 #4”是美国印第安纳州的一所研究型大学,在2018年5月,黑客同伙在“美国大学 #4”多台电脑上,安装了Crosswalk/ProxIP恶意软件,入侵包括计算机科学系、兽医系、药学系和体育系相关人员以及一名网络管理员使用的电脑。

在2019年5月8日或前后,黑客同伙在“美国大学 #4”的电脑上安装了一个网页木马(webshell)。黑客同伙部分使用从虚拟专用服务器供应商(VPS PROVIDER)租用的几个C2服务器中的一个,进行了这次入侵。

“美国大学 #5”是美国德克萨斯州的一所研究型大学,大约在2018年至2020年期间,黑客同伙入侵“美国大学 #5”电脑,浏览“美国大学 #5”电脑网络上的档案服务器,与“美国大学 #5”网络安全有关的文件,以及地理信息系统有关的数据,并访问了含有密码数据的文件。黑客同伙共浏览了75台服务器上至少4200个文件和目录。

“香港大学 #6”是一所位于香港的大学,在2019年11月1日或前后,黑客同伙使用开源钓鱼工具“GOPHISH”,通过租用的一台C2服务器,向香港三所大学的多个收件人发送鱼叉式钓鱼邮件,其中包括“香港大学 #6”。

“香港大学 #7”是一所位于香港的大学。大约在2020年1月,黑客同伙入侵“香港大学 #7”的4台电脑,并安装了PlugX恶意软件,并向黑客同伙从VPS PROVIDER租用的C2服务器传输信息,包括系统细节和注册信息。

“台湾大学 #8”是台湾的一所研究型大学。在2019年或前后,黑客同伙部分通过从VPS PROVIDER租用的C2服务器,入侵“台湾大学 #8”的电脑。2019年10月,黑客同伙从“台湾大学 #8”电脑中取得大量资讯,包括附有人名的六万七千多张照片的文件夹。

入侵全球电信商

黑客同伙还将目标锁定在美国和世界各地的电信商,包括澳大利亚、智利、印度、印度尼西亚、马来西亚、巴基斯坦、新加坡、南韩、台湾和泰国等地的著名电信商,例如,“ECS #9”、“ECS #10”、“ECS #11”和“ECS #12”。

“ECS #9”是一家总部设在美国的电信服务商,2015年4月15日或前后,黑客同伙向“ECS #9”的员工发送了一封诈称求职简历的钓鱼电子邮件,包含一个恶意附件,旨在将恶意软件安装到收件人的电脑上,而最初的恶意软件,是为了方便安装第二阶段的恶意软件。第二阶段的恶意软件旨在使“ECS #9”的电脑与一个C2死机页面联系。

“ECS #10”是一家总部位于美国的电信商,2015年期间,黑客同伙将目标锁定在“ECS #10”的电脑上。例如,在2015年5月5日左右,黑客同伙向“ECS #10”的雇员发送了一百四十多封鱼叉式钓鱼电子邮件。

黑客同伙还利用“ECS #10”,注册欺诈性通信和社交媒体账户,利用这些账户进行目标研究,并从事其它活动以支持他们的黑客行为。

“ECS #11”是一家电子通信服务提供商,“ECS #11”开发和销售一个流行的加密通信平台。

黑客同伙从2015年3月开始,直到在2020年期间,入侵“ECS #11”的电脑,安装了Winnti/Pasteboy和其它恶意软件。

2015年,黑客同伙利用他们未经授权访问“ECS #11”受保护的电脑,获取公司数据,包括“ECS #11”软件的源代码。黑客同伙至少在2020年1月之前,继续入侵“ECS #11”。

大约在2020年1月,在从VPS PROVIDER租用的C2服务器上,黑客同伙利用其自己开发的大数据搜集软件“SonarX”,对与二百多个国家电话号码相连的“ECS #11”用户账户,进行了超过4,000,000次查询。

这些查询显示,ECS所有账户中,有超过700,000个为俄罗斯电话号码,268,000个是缅甸的电话号码,262,000个为伊拉克的电话号码,超过100,000个电话号码为越南、埃及、阿尔及利亚、乌克兰和菲律宾等。

“ECS #12”是一家总部位于巴基斯坦的电子通信和电信供应商。大约在2019年4月和2019年5月,黑客同伙入侵“ECS #12”的电脑。大约在2019年5月,黑客同伙盗取键盘记录器数据,获得至少三名“ECS #12”雇员的电子邮箱地址和登录凭证。

入侵非政府组织

黑客同伙还将美国和世界各地的智库、非营利组织和非政府组织作为目标,例如包括“非政府组织 #13”。

“非政府组织 #13”是一个设在美国的非营利组织,在2018年左右,黑客同伙至少入侵了12台电脑,安装了Winnti/Pasteboy和Crosswalk/ProxIP恶意软件。

大约在2018年5月,作为“非政府组织 #13”的电脑入侵的一部分,黑客同伙导致“非政府组织 #13”在哥伦比亚特区的受保护电脑与HOP POINT TWO进行通信。

入侵电子游戏公司

黑客同伙还将目标对准了美国和其它地方的视频游戏公司,例如,“视频游戏公司 #14”和“视频游戏公司 #15”。

“视频游戏公司 #14”是一家巴西视频游戏公司。2015年4月,黑客同伙通过入侵该公司电脑,获得了一个数据库的副本,其中包含大约2500万条记录,包括客户的姓名、地址、密码、电子邮件地址和其它个人身份信息。

“视频游戏公司 #15”是一家总部设在美国的视频游戏公司。2016年6月15日或前后,黑客同伙入侵该公司数十台电脑,并安装恶意软件,多名员工的登录凭证被盗。

安装勒索软件

2020年,黑客同伙还入侵电脑,安装勒索软件,要求受害者支付赎金,包括“非政府组织 #16”、“开发商 #17”和“能源公司 #18”。

“非政府组织 #16”是一个致力于在世界各地消除贫困的全球性非营利组织。2020年3月8日前后,黑客同伙使用从VPS PROVIDER租用的C2服务器,利用指定为CVE-2020-10189的漏洞,获得对位于美国的“非政府组织 #16”电脑的访问权。

大约在2020年3月23日,黑客同伙用勒索软件加密了一台被入侵的“非政府组织 #16”的电脑,并显示出一张赎金票据,要求支付赎金以换取解密。

“开发商 #17”是一家位于美国俄亥俄州的房地产公司。在2020年3月8日或前后,黑客同伙使用从VPS PROVIDER租用的C2服务器,利用CVE-2020-10189的漏洞获得电脑访问权。在2020年3月19日或前后,黑客同伙用勒索软件加密了4台“开发商 #17”的电脑,要求付款以换取解密。

“能源公司 #18”是一家总部设在台湾的能源公司,在2020年5月4日或前后,黑客同伙利用加州的C2服务器,将勒索软件安装在其电脑上,导致被入侵的电脑被加密。这次入侵破坏了“能源公司 #18”的系统,包括与“能源公司 #18”零售业务有关的支付系统。

入侵外国政府

黑客同伙还瞄准并入侵了越南、印度和英国的政府电脑网络。在这些活动中,黑客同伙使用了商业渗透测试工具,包括Acunetix(一种流行的网络漏洞扫描工具)、SQLMap(一种数据库漏洞扫描工具)和Cobalt Strike渗透测试框架。

大约在2018年9月,黑客同伙使用被配置为与C2域remoteset.zyns.com一起工作的恶意软件,入侵越南政府的电脑。

大约在2019年,黑客同伙入侵了印度政府的网站,以及支持印度政府的虚拟专用网络和数据库服务器。黑客同伙使用VPS PROVIDER服务器,连接到印度政府拥有的OpenVPN网络。在攻击过程中,黑客同伙在印度政府保护的电脑上安装了Cobalt Strike恶意软件。

大约在2019年12月,黑客同伙使用Acunetix工具,瞄准英国政府网站。

开发大数据搜集工具Sonar-X 监视异议人士

成都404公司还开发了一个名为“SonarX”的“大数据”产品,钱川描述其为“信息风险评估系统”,能够简单搜集社交媒体数据。

2018年11月12日左右,SonarX保存了钱川查询的与香港各种民主和独立运动相关个人的记录。包括香港立法会议员香港公民1号、香港公民党创始人香港公民2号、香港立法会前议员香港公民3号、港独运动人士香港公民4号,以及根据新《国安法》,目前被香港警方通缉的香港民运人士香港公民5号。

2018年12月19日左右,SonarX还保存了钱川查询的美国一家政府资助国际广播公司电话号码的记录,该媒体有中国新疆地区维吾尔族人的一些新闻。

2019年2月21日左右,SonarX保存了钱川查询的藏传佛教喇嘛姓名的记录。查询结果显示,该喇嘛使用“ECS #11”进行通信,并将该喇嘛所在地区列为“印度”。查询结果包含该喇嘛使用的“聊天内容”、“联系人”和“平台”等条目。

责任编辑:林妍#

相关新闻
美国司法部宣布起诉和逮捕中共黑客
美起底中共五黑客:隶属APT41组织
美起诉中共5黑客 神秘的成都肆零肆曝光
中共5骇客涉网攻台湾中油 台美合作侦破
最热视频
【重播】川普亚利桑那演讲“让美国再次伟大”
【重播】专访《蚕食美国》制片人
【新闻看点】战狼变流氓 中共忙部署打台湾?
【远见快评】拜登家丑闻4连爆 中共人质外交
【拍案惊奇】朱利安尼欲起诉拜登 称或面临风险
【西岸观察】亨特电脑门曝中共惯用伎俩
如果您有新闻线索或资料给大纪元,请进入安全投稿爆料平台
评论