2016年11月,總部設在滿地可的國際民航組織(ICAO)遭受了其歷史上最嚴重的網絡攻擊。這周三(2月27日),CBC刊文披露了涉及這次攻擊的黑客及其運作方式。

位於加拿大滿地可的國際民航組織是為全世界制定民用航空標準的聯合國機構,是一個與全球航空業個體相聯的門戶,這個機構的網絡被攻破,意味著其全球合作夥伴都陷入困境。

據CBC報道,他們獲得的文件顯示,這次網絡攻擊的黑客很可能是「熊貓使者」(Emissary Panda)的成員,這是一個與中共政府有牽連的、複雜而隱秘的間諜組織。

攻擊手法

「熊貓使者」的黑客們使用各種方法進入其目標系統,比如攻擊網絡郵件服務器,或發送包含惡意鏈接或附件的釣魚(phishing)電子郵件。雖然目前還不知道黑客具體是如何進入國際民航組織的,但研究「熊貓使者」黑客活動的專家稱,這些黑客可能在進入國際民航組織很長時間後,才被發現。

網絡安全公司SecureWorks在其2015年關於「熊貓使者」的一份報告中寫道,該組織通常在攻入其目標系統後,在裏面待相當長的一段時間,然後才開始提取數據。「熊貓使者」利用這段時間找到其它接入點,了解網絡的設置方式,並識別重要數據。

然後,黑客在他們侵入的系統內設置「戰略網絡妥協」,也稱為「漏洞」(watering holes)。這些漏洞是他們為將訪問該網站的人設置的陷阱。

當國際民航組織的成員國在這網站內查詢航空文件時,他們將被注入惡意代碼,使黑客可以遠程控制這些訪問者的電腦。

黑客通過這個方式進入更多的政府或公司的電腦系統後,也會在裏面設置「漏洞」。這樣,他們就建起了一個「漏洞網」,籍此入侵更多的電腦系統。

網絡安全專家費南德斯(Jose Fernandez)表示,國際民航組織被黑客選中,可能不是因為它是一個薄弱環節,而是因為它身份特別。對國際民航組織的攻擊看起來是更大計劃的一部份,因為該組織的成員國及航空公司會經常訪問這個網站,使這個網站成了中共網絡間諜進攻其它目標的「門戶」。

黑客「熊貓使者」

「熊貓使者」有很多不同的名字,比如TG-3390、APT 27和Bronze Union。SecureWorks稱,他們有理由相信,這個組織是中共政府贊助的。

SecureWorks的報告提到這些理由:「熊貓使者」在中國的工作日最活躍,主要在中國當地時間中午至下午5點;該組織的黑客使用中文搜索引擎百度;黑客的攻擊程序,一部份是用中文編寫的;這個組織對維吾爾人——中共政府最近在加強打壓的少數民族,進行了網絡攻擊。

「熊貓使者」已經活躍了至少10年,它在北美、南美、亞洲、歐洲和中東都發動過網絡攻擊。CBC的報道稱,他們採訪過的多名網絡安全專家表示,「熊貓使者」專注於通過「網絡間諜」活動,從企業和政府機構的系統中收集數據。

FireEye公司的網絡安全顧問Ali Arasteh稱,「熊貓使者」的很多活動與中共政府的經濟目標相一致,比如它傾向於針對海外的能源、航空、國防和製造業,這些都是中共當局希望獲得競爭優勢的行業。#