【希望之声2023年9月14日】(本台记者谢伯壶综合报导) 知名网络安全公司赛门铁克研究员12日表示,今年稍早他们发现有黑客组织使用通常与中共有关的恶意软件,攻击了一个未具名的亚洲国家电网。
据赛门铁克(Symantec)团队的说法,一个名为「Redfly」(红蝇)的黑客组织,使用ShadowPad木马渗透到一个未指明的亚洲国家电网,窃取凭证并安装其他恶意软件,同时在六个月的时间内,横向移动感染网路上的多个系统。
ShadowPad这款恶意软件,也与黑客组织APT41有关,研究人员认为该组织与中共国家安全部和中共军队有关。ShadowPad是在2017年首次出现,多个与中共有关的黑客组织随后将其做为网络间谍工具。
赛门铁克表示,此次攻击的第一个证据出现在今年2月28日,当时黑客在一台计算机上使用了ShadowPad。研究人员表示,该恶意软件于5月17日再次出现在网络中,这证明黑客已经保持对系统的访问超过3个多月了。
接下来的一周,黑客采取了多项措施来扩大对存储设备的访问范围、收集系统凭证并掩盖他们的踪迹。该组织使用合法的Windows应用程序oleview.exe,借此更进一步了解所入侵的网络,并进行横向移动。
ShadowPad在去年据信也被黑客组织用来感染中国边境附近的印度电网。在该次攻击中,黑客已通过易受攻击的互联网设备(例IP摄像机、DVR等)渗透到电网的计算机系统中,以安装ShadowPad。
虽然没有直接证据,但赛门铁克团队首席情报分析师迪克·奥布莱恩(Dick O’Brien)认为肯定使用了相同的基础设施,而且可能是同一批人。
如果这次攻击的红蝇,跟之前攻击印度的是同一团队,那表明他们似乎对有利可图的商业目标不感兴趣,只专注于这种具有高情报价值的国家级攻击。
赛门铁克表示,红蝇的入侵没有造成任何破坏,但这并不是最近发生的唯一对关键国家基础设施(CNI)的不必要探测。
五眼联盟在5月就提出警告,中共会持续使用异地攻击,借此访问美国的关键基础设施系统——类似于红蝇在这个未具名的亚洲目标网络中所做的。
「CNI组织受到攻击的频率在过去一年中似乎有所增加,现在令人担忧。」赛门铁克警告说。
「获得破坏性能力可能是CNI攻击激增背后的一个可能的动机,」奥布莱恩表示,这意味着使用ShadowPad的人已经添加了一些可能产生现实世界影响的功能。
虽然赛门铁克此次发现的入侵仅限于电网,但奥布莱恩指出,微软(Microsoft)观察与中共有关的黑客组织「伏特台风」(Volt Typhoon)发起的类似攻击,就没那么集中。
「他们攻击的目标包括了通信、制造、公用事业、运输、建筑、海事、政府、资讯技术和教育部门,」奥布莱恩说。换句话说,对于关键基础设施领域的人们来说,无论他们的行业性质如何,现在是时候开始关注威胁情报报告,并养成良好的补丁习惯了。
责任编辑:唐洁
本文章或节目经希望之声编辑制作,转载请注明希望之声并包含原文标题及链接。
