以色列研究機構星期一(2月22日)表示,中國間諜使用了與美國國家安全局(NSA)有關的“方程式組織”(Equation Group)開發的漏洞檢測代碼來支持他們的黑客行動。
位於以色列的全球知名網絡安全公司Check Point在一份研究報告中說,中國黑客組織APT31(APT是Advanced Persistent Threat, 高級持續性威脅的英文縮寫)使用的惡意軟件“Jian”的部分功能與2017“方程式組織”的“EpMe”相同。
路透社報導說,Check Point的研究主管巴爾馬斯(Yaniv Balmas)表示“Jian”是“一種山寨,是一種中國複製品。
網絡科技新聞網站ZDNet則援引Check Point說, APT31的“Jian”和“方程式組織”的“EpMe”都是為了提升攻擊者在本地微軟Windows環境中的權限。這一工具是在攻擊者獲得初始訪問目標計算機的權限後(例如通過釣魚郵件或其他任何選項獲得)使用的,授予攻擊者最高的可用權限,這樣他們就可以“自由漫遊”,在已經受感染的計算機上為所欲為。
Check Point的這份研究報告提到,中國組織有可能是在“方程式組織”攻擊中國目標時獲取了代碼,也可能是在其攻擊“方程式組織”的基礎設施時捕獲了代碼。
研究報告還提到,APT31利用“Jian”,在2015年至2017年3月期間進行了網絡攻擊,直到微軟修補了它所攻擊的漏洞。
這似乎並不是中國竊取並改造利用“方程式組織”工具的唯一例子。全球知名的網絡安全公司賽門鐵克(Symantec)就曾在2019年的一份報告中指出,中國黑客組織APT3在2016年使用“方程式組織”的黑客工具進行攻擊。
而在2017年,一個自稱“影子掮客”(Shadow Brokers)的黑客組織就曾把聲稱來自“方程式組織”的黑客工具公佈在網上,令美國國安局受到嚴重衝擊。這些被公開的黑客工具對全球網絡安全產生重大影響,包括震驚全球的WannaCry網絡攻擊事件。
