网络骇客示意图。(图片来源:公有领域 Pixabay)
【看中国2019年12月20日讯】据一家网络安全公司最新的报告显示,一个被认为处于蛰伏状态,且与中国政府有关连的黑客组织已经卷土重来,它一直在攻击外国公司与政府机构,其中包括美国、英国、法国、德国及意大利等十个国家。其透过窃取密码与规避双重身分验证,以进行不法采集各种资料数据。
根据彭博社报导指出,12月19日,总部位在荷兰的网络安全公司Fox-IT,其发表一份报告指出,与北京政府有关联的这个黑客组织,极可能属于APT20组织,研究人员更深信该组织的主要目的,在于满足北京的利益。
2009年至2014年期间,又被称为“Violin Panda”和“th3bug”的APT20,其入侵对象主要是大学、军事单位、医疗保健及电信公司等。
Fox-IT透露,APT20于沉寂多年之后,最近又再次卷土重来。该网络安全公司首席安全专家弗兰克.葛罗尼威根(Frank Groenewegen)表示,有很多人以为这个组织已经消失,或不再存在了,但我们则发现,该组织已经再次于全球从事黑客活动,且入侵了许多公司。
报告中称,北京所支持的黑客组织,进行全球性的间谍活动,受害者包括各行各业,其中有航空、建筑、金融、能源、医疗保健、保险及赌博等。
Fox-IT的研究人员也发现,APT20自去年夏季开始,已经至少在全球进行数十起的网络攻击行动,受害的国家有美国、德国、英国、法国、巴西、墨西哥、意大利、葡萄牙及西班牙等国家。
报告指出,APT20的运作模式,是窃取外国公司及政府机构网络的密码之后收集其数据,其能够规避受害网站用来防止这类攻击的2道身分验证的安全程序。
Fox-IT公司已经告知这些可能的遭攻击者,并与他们进行合作来清理计算机系统。据葛罗尼威根所提供的资料显示,在中国境内至少有一家半导体公司,也是被攻击的对象之一。
证据指向中国黑客
Fox-IT的报告中表示,通常网络黑客会掩盖自己的足迹,其会将用来入侵计算机窃取数据的工具删除,可是还是偶尔会有差错。Fox-IT把监视技术放置入一个受害者的网络内,就收集到了入侵的黑客,当时其使用的浏览器语言设定为中文。
Fox-IT在一个执法机构的帮助之下,追踪到了一个网络服务器。而APT20曾经购买该服务器,且以此作为其黑客攻击的切入点。Fox-IT更发现,这个黑客组织以比特币来付款,且提供虚假信息,其部分地址是用简体中文输入。
同时Fox-IT的安全专家还发现一个现象,通常这些黑客攻击时间,是选择荷兰时间凌晨3点开始活动,约持续8至10个小时。也就意味着,该黑客很可能是在比荷兰时间还早7个小时的中国时区来进行攻击行动。
有一次Fox-IT抓到了黑客,且采取行动将他们拒之门外,而后仍发现黑客还试图入侵。当它被明确告知已经被锁定之时,就有其中一名黑客输入2个不雅的字“我操”(wocao),因而暴露了其身分。