疑似中国黑客攻击东南亚及维吾尔族人
-
疑似中国黑客利用网络钓鱼攻击东南亚政府及维吾尔族人
华盛顿 - 以色列网络安全公司“检查站”发布报告称,疑似来自中国的黑客组织通过网络钓鱼方式持续攻击东南亚国家政府系统和中国境内外维吾尔族人的计算机系统。
报告指出,黑客以假冒政府雇员身份发送带有微软文档的电子邮件至目标国家的政府员工,一旦用户打开文档,电脑便会被引导下载包含恶意工具的档案。该恶意工具名为“皇家路”,是中国黑客群体中常用的工具,利用了旧版微软公式编辑器中的安全漏洞。
通过多步操作,黑客最终在目标用户的电脑中安装后门模块,可执行删除、创建、重命名文件、获取电脑信息、截屏甚至关闭计算机等操作。
“检查站”的研究人员认为该黑客组织至少用了三年时间不断测试和加强这一攻击策略,并表示有中等到高度的信心判定黑客来自中国。支持这一判断的原因包括:“皇家路”恶意软件与中国黑客群体的关联、袭击程序活动时段符合中国的上班时间、5月1日至5日没有进行任何活动可能与中国劳动节假期有关、后门程序测试版本检测联网状态的方式是试图连接中国的百度网站以及在网络安全分析服务网站上发现从中国上传的某些后门版本。
此外,该公司5月27日发布另一份报告称,疑似来自中国的黑客利用网络钓鱼方式假冒联合国文件,引诱中国和巴基斯坦境内的维吾尔人下载和点击恶意程序和链接。黑客向维吾尔用户发送带有联合国人权理事会标示的仿冒文件,作为安装后门程序的媒介。
研究人员指出,这种攻击策略的新颖之处在于黑客利用了袭击目标那种受迫害的感受来欺骗他们,并设计了一种诱使受害者在进入钓鱼网站的慈善基金页面之前扫描他们的电脑,使他们执行冒充为杀毒扫描程序的恶意软件。
尽管不能确定有关袭击是中国政府发动的网络攻击,但来自中国民间的可能性很高。“检查站”网络威胁情报工作组总监洛特姆·芬克尔斯坦说:“近年来,尤其是在这个民族主义的时代,我们看到越来越多的民间黑客组织参与到被认为是关乎国家利益的行动中......虽然不能最终将其指向中国(政府),但可以将其归咎于中国黑客,因为我们知道,最根本的相关代码实际上都可以在中文论坛上找到。”
芬克尔斯坦补充说,针对维吾尔群体的这一网络钓鱼式攻击在2020年最为活跃,但目前仍在进行。研究人员发现黑客正在创建冒充土耳其和马来西亚政府部门的钓鱼网站,这表明黑客可能计划在未来对这两个国家的维吾尔群体展开攻势。