12月29日,美國網絡安全公司發佈報告說,一家可能位於中國境內的網絡間諜組織在監控東亞、南亞國家的非政府組織和執法組織,並疑似獲得中共政府的贊助。

在安全工作反威脅機構(CTU)發佈的報告中說,一個名為「銅主席」的網絡間諜組織使用黑客工具瞄準非政府組織(NGO)。CTU研究者觀察到,「銅主席」從2018年就開始活動了。但是蛛絲馬跡顯示,它可能早在2014年就開始從事網絡入侵。

CTU研究者們觀察到,「銅主席」瞄準南亞和東亞國家的非政府組織。黑客們長期潛伏在系統中盜竊數據,暗示他們的目標是長期監視。「銅主席」使用自定義批處理程序收集特定類型文件(包括.pptx, .xlsx, .pdf後綴名),或者收集特定位置的所有文件。「銅主席」黑客也收集社交媒體和電子郵件敏感賬號的信息。

此外,CTU研究者還觀察到,「銅主席」瞄準中國毗鄰國家,包括蒙古和印度的政治及執法組織。「銅主席」的釣魚誘餌暗示它們對東亞、南亞和東南亞的國家安全組織、人道主義組織和執法組織感興趣。

CTU研究者認為,「銅主席」很可能位於中國境內,依據包括:

—「銅主席」瞄準的非政府組織從事跟中國相關的研究;

—「銅主席」的基礎設施跟中國境內實體有關係;

—「銅主席」基礎設施的某個部份跟中國境內互聯網服務提供商有關係;

—「銅主席」使用的PlugX等工具歷史上曾經被中國境內的其它黑客組織使用;

—「銅主席」似乎得到中共政府的贊助,至少是容忍。「銅主席」長期瞄準NGO和政治組織的特徵跟愛國黑客組織和犯罪黑客組織不一致。

「銅主席」使用了一系列不同的遠程入侵工具。CTU研究者發現了一些此前沒有見過的工具,暗示「銅主席」可能有能力自己開發惡意軟件。

「銅主席」使用的工具包括Cobalt Strike,PlugX,ORat和RCSession。在單次入侵行動中同時使用這麼多工具暗示,這個黑客組織包含使用不同戰術、扮演不同角色、使用不同工具的黑客。

在入侵一個網絡之後,「銅主席」的黑客會提升自己的權限,在系統內安裝惡意軟件。黑客們採取積極措施最大限度的減少系統對其活動的偵測,以利於他們長期潛伏。

CTU的網絡情報總監麥克樂藍(Mike McLellan)告訴天空新聞,「銅主席」瞄準NGO的原因可能跟香港抗議和維吾爾少數民族有關。

「我認為中共政府將試圖收集那些事件的信息。它想要了解反對派怎麼想,地區夥伴可能怎麼想。他們的一個辦法就是走出去,試圖通過網絡攻擊等方式收集信息。我認為,很可能現實世界發生的種種事件都跟我們在這裏看到的(黑客)行動有關係。」#