最新調查發現,與中國軍方有牽連的黑客組織過去五年中利用新的後門技術對東南亞國家的政府部門進行網絡攻擊滲透,竊取秘密信息。
這個黑客組織被稱為乃康高級持續性威脅(Naikon Advanced Persistent Threat,簡稱乃康APT)。總部位於以色列的安全點(Check Point)跨國網絡安全公司7日說,他們發現乃康APT過去五年中利用先進後門惡意軟件對包括澳大利亞、印度尼西亞、菲律賓、越南、泰國、緬甸和汶萊在內的亞太國家的政府網絡發動攻擊,竊取機密,重點是外交部、科技部和國營企業。
安全點公司表示,更嚴重的是,乃康APT並利用這些國家之間的外交關係擴大攻擊範圍,即攻陷一個國家的政府網絡後,用這個網絡作為跳板再對其他國家發動攻擊。某國駐外使館就曾在不知情的情況下通過受信任的渠道向所在國家的政府發送已經遭到惡意軟件感染的文件,讓所在國家的政府網絡面臨感染的威脅。
乃康APT對這些亞太國家的政府網絡使用Aria-body裝載器的新的惡意軟件,目的是為乃康的指控服務器開啟一個後門。一台政府電腦被攻陷後,Aria-body裝載器就在啟動文件夾或登陸檔(registry)中生根,從外部服務器向這台電腦下載一個遠程控制木馬(trojan RAT)惡意軟件,解密後植入這台電腦。
遠程木馬(trojan RAT)惡意軟件可以用來製造或刪除文檔、進行截圖、在文件中搜索獲取數據信息,甚至可以記錄地點和主人的鍵盤敲擊。
安全點網絡安全公司指出,“鑑於受害者的特點以及這個組織展示的能力,這個組織的目的顯然是對目標政府所在國家進行情報蒐集和監控。這不僅包括從政府部門被感染的電腦和網絡中尋找並蒐集特定的文件,還能從移動硬盤中獲取數據,進行截圖並記錄鍵盤敲擊,為間諜活動獲取數據”。
安全點公司的研究人員對福布斯網站說,“這是我們所報告的由一家中國高級持續性威脅團體所進行的最廣泛的作業”,“十分危險”,“這個組織使用了一種新的網絡武器,後者的設計是用來廣泛蒐集情報,同時接受情報官員的指令,在特定的電腦上尋找特定的文件名”。
有報導說,乃康APT這個與中國軍方有牽連的駭客組織2015年被美國網絡安全公司發現,當時被認為是對南中國海有主權爭議的東南亞國家“從事地區電腦網絡作業,蒐集情報並進行政治分析”,以後陷入了沉寂。
安全點公司就此指出,“乃康APT雖然過去五年中從雷達視線中消失了,可似乎並沒有閒著。事實剛好相反。乃康APT利用新的服務器基礎設施、裝載器不斷的變量、無文件(fileless)記憶裝載以及一種新的後門,能夠防止分析員對他們的活動進行跟踪並發現他們”。