多年來,和中共政府有關聯的黑客一直在全球作案。美國司法部近日在起訴5名中共黑客之際,也曝光了中共網攻觸角範圍之廣,令人震驚。中共黑客的目標不僅包括各國政府和公司、學術研究機構、非政府組織,還包括海外知名異見人士。
美國司法部9月16日宣佈對隸屬於代號APT41的中共黑客組織的5名中國籍成員以及2名馬來西亞籍外應的指控。他們被指控攻擊包括美國在內的一百多家公司及實體,以及監視包括香港人在內的多名異見人士。
從起訴書內容看,5名中共黑客瞄準全球多個領域的目標對象,範圍廣泛;使用的技術也很專業、高級和複雜,如租用國外的C2服務器,進行「鏈式攻擊」,即通過攻擊通信商,來攻擊其客戶;設置假網頁,利用安全漏洞等。
中共黑客除了牟利外,更多對商業機密和政治信息感興趣,還開發大數據收集工具,監視異見人士,與中共網攻模式合拍。
被起訴的5名中共黑客,分別是成都404公司的蔣立志、錢川、付強,以及有時單幹、有時與其合夥的黑客張浩然、譚戴林。
以下根據美國司法部發佈的對成都404公司(成都市肆零肆網絡科技有限公司)黑客同夥的起訴書,詳解中共黑客團夥的作案手段和目標,上篇通過黑客之間的對話,曝光其「鏈式攻擊」作案手法。
下篇(本文)則揭示遭受中共黑客攻擊的全球各個受害者,從多國政府機構到跨國公司,再到港台大學和香港民主人士等,都成為被美國起訴的5名中共黑客的目標。
入侵美國、香港和台灣大學 盜取數萬照片
黑客同夥入侵美國、香港、台灣的十幾所著名大學的電腦,其中包括:「美國大學 #4」、「美國大學 #5」、「香港大學 #6」、「香港大學 #7」、「台灣大學 #8」。
「美國大學 #4」是美國印第安納州的一所研究型大學,在2018年5月,黑客同夥在「美國大學 #4」多台電腦上,安裝了Crosswalk/ProxIP惡意軟件,入侵包括電腦科學系、獸醫系、藥學系和體育系相關人員以及一名網絡管理員使用的電腦。
在2019年5月8日或前後,黑客同夥在「美國大學 #4」的電腦上安裝了一個網頁木馬(webshell)。黑客同夥部份使用從虛擬專用服務器供應商(VPS PROVIDER)租用的幾個C2服務器中的一個,進行了這次入侵。
「美國大學 #5」是美國德薩斯州的一所研究型大學,大約在2018年至2020年期間,黑客同夥入侵「美國大學 #5」電腦,瀏覽「美國大學 #5」電腦網絡上的檔案伺服器,與「美國大學 #5」網絡安全有關的文件,以及地理信息系統有關的數據,並訪問了含有密碼數據的文件。黑客同夥共瀏覽了75台服務器上至少4200個文件和目錄。
「香港大學 #6」是一所位於香港的大學,在2019年11月1日或前後,黑客同夥使用開源釣魚工具「GOPHISH」,通過租用的一台C2服務器,向香港三所大學的多個收件人發送魚叉式釣魚郵件,其中包括「香港大學 #6」。
「香港大學 #7」是一所位於香港的大學。大約在2020年1月,黑客同夥入侵「香港大學 #7」的4台電腦,並安裝了PlugX惡意軟件,並向黑客同夥從VPS PROVIDER租用的C2服務器傳輸信息,包括系統細節和註冊信息。
「台灣大學 #8」是台灣的一所研究型大學。在2019年或前後,黑客同夥部份通過從VPS PROVIDER租用的C2服務器,入侵「台灣大學 #8」的電腦。2019年10月,黑客同夥從「台灣大學 #8」電腦中取得大量資訊,包括附有人名的67,000多張照片的文件夾。
入侵全球電信商
黑客同夥還將目標鎖定在美國和世界各地的電信商,包括澳洲、智利、印度、印度尼西亞、馬來西亞、巴基斯坦、新加坡、南韓、台灣和泰國等地的著名電信商,例如,「ECS #9」、「ECS #10」、「ECS #11」和「ECS #12」。
「ECS #9」是一家總部設在美國的電信服務商,2015年4月15日或前後,黑客同夥向「ECS #9」的員工發送了一封詐稱求職簡歷的釣魚電子郵件,包含一個惡意附件,旨在將惡意軟件安裝到收件人的電腦上,而最初的惡意軟件,是為了方便安裝第二階段的惡意軟件。第二階段的惡意軟件旨在使「ECS #9」的電腦與一個C2死機頁面聯繫。
「ECS #10」是一家總部位於美國的電信商,2015年期間,黑客同夥將目標鎖定在「ECS #10」的電腦上。例如,在2015年5月5日左右,黑客同夥向「ECS #10」的僱員發送了140多封魚叉式釣魚電子郵件。
黑客同夥還利用「ECS #10」,註冊欺詐性通信和社交媒體帳戶,利用這些帳戶進行目標研究,並從事其它活動以支持他們的黑客行為。
「ECS #11」是一家電子通信服務提供商,「ECS #11」開發和銷售一個流行的加密通信平台。
黑客同夥從2015年3月開始,直到在2020年期間,入侵「ECS #11」的電腦,安裝了Winnti/Pasteboy和其它惡意軟件。
2015年,黑客同夥利用他們未經授權訪問「ECS #11」受保護的電腦,獲取公司數據,包括「ECS #11」軟件的原始碼。黑客同夥至少在2020年1月之前,繼續入侵「ECS #11」。
大約在2020年1月,在從VPS PROVIDER租用的C2服務器上,黑客同夥利用其自己開發的大數據收集軟件「SonarX」,對與二百多個國家電話號碼相連的「ECS #11」用戶帳戶,進行了超過4,000,000次查詢。
這些查詢顯示,ECS所有帳戶中,有超過700,000個為俄羅斯電話號碼,268,000個是緬甸的電話號碼,262,000個為伊拉克的電話號碼,超過100,000個電話號碼為越南、埃及、阿爾及利亞、烏克蘭和菲律賓等。
「ECS #12」是一家總部位於巴基斯坦的電子通信和電信供應商。大約在2019年4月和2019年5月,黑客同夥入侵「ECS #12」的電腦。大約在2019年5月,黑客同夥盜取鍵盤記錄器數據,獲得至少三名「ECS #12」僱員的電子郵箱地址和登錄憑證。
入侵非政府組織
黑客同夥還將美國和世界各地的智囊、非牟利組織和非政府組織作為目標,例如包括「非政府組織 #13」。
「非政府組織 #13」是一個設在美國的非牟利組織,在2018年左右,黑客同夥至少入侵了12台電腦,安裝了Winnti/Pasteboy和Crosswalk/ProxIP惡意軟件。
大約在2018年5月,作為「非政府組織 #13」的電腦入侵的一部份,黑客同夥導致「非政府組織 #13」在哥倫比亞特區的受保護電腦與HOP POINT TWO進行通信。
入侵電子遊戲公司
黑客同夥還將目標對準了美國和其它地方的電子遊戲公司,例如,「電子遊戲公司 #14」和「電子遊戲公司 #15」。
「電子遊戲公司 #14」是一家巴西電子遊戲公司。2015年4月,黑客同夥通過入侵該公司電腦,獲得了一個數據庫的副本,其中包含大約2500萬條記錄,包括客戶的姓名、地址、密碼、電子郵件地址和其它個人身份信息。
「電子遊戲公司 #15」是一家總部設在美國的電子遊戲公司。2016年6月15日或前後,黑客同夥入侵該公司數十台電腦,並安裝惡意軟件,多名員工的登錄憑證被盜。
安裝勒索軟件
2020年,黑客同夥還入侵電腦,安裝勒索軟件,要求受害者支付贖金,包括「非政府組織 #16」、「開發商 #17」和「能源公司 #18」。
「非政府組織 #16」是一個致力於在世界各地消除貧困的全球性非牟利組織。2020年3月8日前後,黑客同夥使用從VPS PROVIDER租用的C2服務器,利用指定為CVE-2020-10189的漏洞,獲得對位於美國的「非政府組織 #16」電腦的訪問權。
大約在2020年3月23日,黑客同夥用勒索軟件加密了一台被入侵的「非政府組織 #16」的電腦,並顯示出一張贖金票據,要求支付贖金以換取解密。
「開發商 #17」是一家位於美國俄亥俄州的房地產公司。在2020年3月8日或前後,黑客同夥使用從VPS PROVIDER租用的C2服務器,利用CVE-2020-10189的漏洞獲得電腦訪問權。在2020年3月19日或前後,黑客同夥用勒索軟件加密了4台「開發商 #17」的電腦,要求付款以換取解密。
「能源公司 #18」是一家總部設在台灣的能源公司,在2020年5月4日或前後,黑客同夥利用加州的C2服務器,將勒索軟件安裝在其電腦上,導致被入侵的電腦被加密。這次入侵破壞了「能源公司 #18」的系統,包括與「能源公司 #18」零售業務有關的支付系統。
入侵外國政府
黑客同夥還瞄準併入侵了越南、印度和英國的政府電腦網絡。在這些活動中,黑客同夥使用了商業滲透測試工具,包括Acunetix(一種流行的網絡漏洞掃瞄工具)、SQLMap(一種數據庫漏洞掃瞄工具)和Cobalt Strike滲透測試框架。
大約在2018年9月,黑客同夥使用被配置為與C2域remoteset.zyns.com一起工作的惡意軟件,入侵越南政府的電腦。
大約在2019年,黑客同夥入侵了印度政府的網站,以及支持印度政府的虛擬專用網絡和數據庫服務器。黑客同夥使用VPS PROVIDER服務器,連接到印度政府擁有的OpenVPN網絡。在攻擊過程中,黑客同夥在印度政府保護的電腦上安裝了Cobalt Strike惡意軟件。
大約在2019年12月,黑客同夥使用Acunetix工具,瞄準英國政府網站。
開發大數據收集工具Sonar-X 監視異見人士
成都404公司還開發了一個名為「SonarX」的「大數據」產品,錢川描述其為「信息風險評估系統」,能夠簡單收集社交媒體數據。
2018年11月12日左右,SonarX保存了錢川查詢的與香港各種民主和獨立運動相關個人的記錄。包括香港立法會議員香港公民1號、香港公民黨創始人香港公民2號、香港立法會前議員香港公民3號、港獨運動人士香港公民4號,以及根據新國安法,目前被香港警方通緝的香港民運人士香港公民5號。
2018年12月19日左右,SonarX還保存了錢川查詢的美國一家政府資助國際廣播公司電話號碼的記錄,該媒體有中國新疆地區維吾爾族人的一些新聞。
2019年2月21日左右,SonarX保存了錢川查詢的藏傳佛教喇嘛姓名的記錄。查詢結果顯示,該喇嘛使用「ECS #11」進行通信,並將該喇嘛所在地區列為「印度」。查詢結果包含該喇嘛使用的「聊天內容」、「聯繫人」和「平台」等條目。#
------------------
💎成為會員 📧訂閱電子報
https://hk.epochtimes.com/subscribe
🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand