【希望之聲2023年9月14日】(本台記者謝伯壺綜合報導) 知名網絡安全公司賽門鐵克研究員12日表示,今年稍早他們發現有黑客組織使用通常與中共有關的惡意軟件,攻擊了一個未具名的亞洲國家電網。
據賽門鐵克(Symantec)團隊的說法,一個名為「Redfly」(紅蠅)的黑客組織,使用ShadowPad木馬滲透到一個未指明的亞洲國家電網,竊取憑證並安裝其他惡意軟件,同時在六個月的時間內,橫向移動感染網路上的多個系統。
ShadowPad這款惡意軟件,也與黑客組織APT41有關,研究人員認為該組織與中共國家安全部和中共軍隊有關。ShadowPad是在2017年首次出現,多個與中共有關的黑客組織隨後將其做為網絡間諜工具。
賽門鐵克表示,此次攻擊的第一個證據出現在今年2月28日,當時黑客在一台計算機上使用了ShadowPad。研究人員表示,該惡意軟件於5月17日再次出現在網絡中,這證明黑客已經保持對系統的訪問超過3個多月了。
接下來的一周,黑客採取了多項措施來擴大對存儲設備的訪問範圍、收集系統憑證並掩蓋他們的蹤跡。該組織使用合法的Windows應用程序oleview.exe,藉此更進一步了解所入侵的網絡,並進行橫向移動。
ShadowPad在去年據信也被黑客組織用來感染中國邊境附近的印度電網。在該次攻擊中,黑客已通過易受攻擊的互聯網設備(例IP攝像機、DVR等)滲透到電網的計算機系統中,以安裝ShadowPad。
雖然沒有直接證據,但賽門鐵克團隊首席情報分析師迪克·奧布萊恩(Dick O’Brien)認為肯定使用了相同的基礎設施,而且可能是同一批人。
如果這次攻擊的紅蠅,跟之前攻擊印度的是同一團隊,那表明他們似乎對有利可圖的商業目標不感興趣,只專註於這種具有高情報價值的國家級攻擊。
賽門鐵克表示,紅蠅的入侵沒有造成任何破壞,但這並不是最近發生的唯一對關鍵國家基礎設施(CNI)的不必要探測。
五眼聯盟在5月就提出警告,中共會持續使用異地攻擊,藉此訪問美國的關鍵基礎設施系統——類似於紅蠅在這個未具名的亞洲目標網絡中所做的。
「CNI組織受到攻擊的頻率在過去一年中似乎有所增加,現在令人擔憂。」賽門鐵克警告說。
「獲得破壞性能力可能是CNI攻擊激增背後的一個可能的動機,」奧布萊恩表示,這意味著使用ShadowPad的人已經添加了一些可能產生現實世界影響的功能。
雖然賽門鐵克此次發現的入侵僅限於電網,但奧布萊恩指出,微軟(Microsoft)觀察與中共有關的黑客組織「伏特颱風」(Volt Typhoon)發起的類似攻擊,就沒那麼集中。
「他們攻擊的目標包括了通信、製造、公用事業、運輸、建築、海事、政府、資訊技術和教育部門,」奧布萊恩說。換句話說,對於關鍵基礎設施領域的人們來說,無論他們的行業性質如何,現在是時候開始關注威脅情報報告,並養成良好的補丁習慣了。
責任編輯:唐潔
本文章或節目經希望之聲編輯製作,轉載請註明希望之聲並包含原文標題及鏈接。
