遭美國司法部星期四(12月20日)起訴的兩名中共黑客組織APT 10成員疑在天津市國家安全局大樓辦公。

司法部起訴書詳細介紹了中共黑客組織APT 10 如何入侵12個國家的IT託管服務和雲提供商,然後以此為跳板、進一步竊取這些IT服務商的服務對像——45家美國公司或政府機構的機密信息的操作路徑。

根據起訴書,APT 10至少侵入約90台、未經授權訪問的電腦,並對至少45家美國科技公司或政府機構進行技術盜竊或竊取敏感信息。

中共黑客APT10 入侵操作被曝光

第一步,利用魚叉式網絡釣魚(spear phishing)植入惡意軟件到目標電腦。通常是發送定製的電子郵件——帶附件的郵件,給既定目標,一旦點開郵件就中招。

為了誘騙收信人打開郵件附件,中共黑客將郵件偽裝成從正常的電子郵件地址發送,同時將郵件正文和附件文件名偽裝成正常內容。

例如:中共黑客發送一封魚叉式網絡釣魚(spear phishing)郵件,且假冒一家通訊公司(受害公司1)的電子郵件地址,但實際上該郵件的發送地址顯示:來自中國天津APT 10組織下的IP地址。

這封郵件被送給了一家直升機製造公司(受害公司2),主題為「C17 天線問題」,附件名為「12-204側面著陸測試」,正文為「請查看附件」。

這種偽裝讓受害公司放鬆被惡意植入惡意軟件的警惕,中共黑客組織通常使用的惡意軟件包括,特洛伊木馬(RAT 11)變體和Poison Ivy等允許遠程訪問的木馬軟件,同時還有按鍵記錄器、用以竊取用戶名和密碼等。這些惡意軟件自動與APT 10組織控制的電腦IP地址的域名進行通信。

第二步,頻繁掩蓋和快速更改惡意域名。起訴書提到,APT 10 組織特別使用動態域名系統(DNS)服務商來託管惡意域名,包括使用一家位於紐約南區的提供商的服務,該提供商允許APT 10 將惡意軟件中預先編程的惡意域名分派到他們控制的不同IP地址電腦上。

這種操作模式使APT 10能夠頻繁、快速地更改與其惡意域名相關的IP地址,而無需調整受害者電腦上已有的惡意軟件或域名,這為APT 10提供操作靈活性和持久性,並幫助他們繞過網絡檢測——對已識別的惡意IP地址進行網絡安全過濾。

根據起訴書,APT 10註冊了約1,300個用於盜竊IT託管服務提供商(MSP)活動的惡意域名,其中一些是2010年前後開立的帳戶。

第三步,在成功安裝惡意軟件之後,APT 10向受感染的電腦系統指示下載更多的惡意軟件和工具,以進一步侵蝕受害者的電腦。

第四步,在APT 10組織成員識別出受害者電腦上有感興趣的數據後,他們從受感染的電腦上收集文件和信息,並將盜取的文件和信息加密後、發給他們控制的電腦。

第五步,一旦APT 10從IT託管服務提供商的電腦竊取到管理憑證,它就會使用這些被盜的憑證啟動與被託管服務客戶之間的遠程桌面協議(「RDP」)連接。

這種操作模式使APT 10組織能夠侵入託管服務商及其客戶網絡的內部互聯網絡,並危及託管服務商及其客戶的那些未安裝惡意軟件的電腦。

第六步,APT 10 通常會進行刪除動作,以避免被檢測或識別到文件被盜。而且,每次在美國政府或某些安全公司發佈公開報告,揭露APT 10 組織在進行惡意軟件或域名操作後,APT 10就快速修改或放棄了此類黑客攻擊,而轉入其它更隱蔽的形式繼續進行活動。

起訴書指,APT 10 入侵的託管服務商至少為12個國家的不同公司服務,受害者包括:一家全球金融機構;三家電信和/或消費電子公司;三家商業或工業製造公司;兩家諮詢公司;一家醫療保健公司;一家生物技術公司;一家採礦公司;一家汽車供應商公司以及一家鑽井公司。

此外,APT 10還竊取了四十多台美國軍方電腦,並竊取10萬個海軍人員的個人敏感數據,包括姓名、社會安全號碼、出生日期、工資信息、個人電話號碼以及電子郵件地址。

APT 10 疑在天津市國家安全局大樓辦公

根據起訴書,APT 10 位於中國境內,在天津和其它地區進行活動,同時是在中國白天的工作時間、辦公室環境下進行活動。

這些年來外界一直在曝光中共的黑客組織,除了之前的APT 3外,APT 10的攻擊活動也被頻繁曝光。7月底,一家自稱「入侵真相」(Intrusion Truth)的神秘組織根據優步收據和其它信息揭露,一名 APT 10 成員上車的起點是天津市河西區珠江道85號,這正是天津市國家安全局的總部大樓所在地址。

「入侵真相」曝光的APT 10三名黑客姓名,其中之一就是司法部這次提告的張士龍。