美國網絡安全公司“火眼”(FireEye)星期三(8月7日)宣佈,他們發現了一個具有國家政治和經濟目的、同時也通過網絡入侵活動中飽私囊中國黑客組織。火眼公司的報告說,這一組織侵入了15個國家和地區多個行業部門的網絡系統,其中一些成員“入行”時的年齡可能不到16歲。
火眼公司將這一組織命名為“APT41”(“APT”是“先進持續威脅”的縮寫,指一種隱秘持久的黑客襲擊過程)。
火眼公司的報告說,APT41組織自2012年開始襲擊了包括美國、英國、法國、日本、新加坡、印度、香港等15個國家和地區,一開始的活動主要針對網絡遊戲公司,並明顯是以金錢利益為目的,但從2014開始,其活動更具經濟間諜活動色彩,有時帶有政治目的。
火眼公司說,該公司以相當大的把握評斷,APT41是一群為中國政府效力、從事網絡間諜活動的中國個人,這些個人的某些行動有時也受個人利益驅使。
該公司高級副總裁桑德拉•喬伊斯星期三在美國拉斯維加斯說:“APT41於其他那些與中國有關聯的網絡行為者不同,這一組織使用一些通常是間諜活動專用的工具,卻用於個人獲利的活動。他們十分活躍,技術高超,資源雄厚。APT41在間諜和網絡犯罪方面進行富有進攻性和持續性的行動,相較其他對手有所不同,在多個行業構成重要威脅。”
受攻擊的對象包括醫療、製藥業、半導體、計算機軟件與硬件公司、電信業、旅遊業、新聞媒體等。 “火眼”報告說,很多受襲擊對象與中國的“十二五”和“十三五”計劃、以及“中國製造2015”規劃中指出的關鍵行業相關。
例如,該組織多次襲擊外國電信巨頭的網絡系統,獲取通話記錄,一些研發人工智能、自動駕駛汽車、醫療圖像、半導體、雲計算等技術的科技公司也受襲擊。
報告說,在中國政府高級官員的一次外交出訪的兩星期前,APT41組織攻擊了官員計劃下榻酒店系統,獲取了該酒店預定係統中的個人信息。火眼公司認為,這顯示了該組織是在官方指示下對這一酒店進行“排查”。該公司沒有具體說明遭受襲擊的酒店名稱和所在國家。
報告還特別提到,APT41組織可能參與了中國官方對香港“雨傘運動”參與者的打壓活動。
報告說,2016年7月至8月以及2017年10月期間,這一組織向支持民主派的香港媒體發送了“魚叉式網絡釣魚”郵件。 “火眼”報告說,攻擊時間與香港民主派參加立法會選舉和此後立法會宣誓風波有關,這也是該組織記錄到的APT41第一次對香港民主派組織的攻擊。
火眼公司發現,襲擊者通常在中國網絡工作人員中常見的“996工作制”(早9點至晚9點上班,一周工作6天)中的上班時間段進行從事那些可能是受政府指示的網絡間諜活動,然後在深夜的“業餘時間”通過襲擊網絡遊戲平台為個人牟利。
調查報告說,這一組織的成員從2012年就開始襲擊亞洲和美國的網絡遊戲公司,他們從針對網游公司的黑客行動中積累的經驗,同時也明目張膽地聚斂虛擬貨幣,有時也通過地下網絡的勒索軟件向遊戲公司索要現實貨幣。
報告說,該組織在一次對某網游平台的行動中,不到3小時就獲取了價值數千萬美元的一種遊戲虛擬貨幣。報告說,這些虛擬貨幣被分散轉入1千多個賬戶,很可能最後通過地下交易出售。
報告特別提到APT41中名為“張旭光”(Zhang Xuguang)和“Wolfzhi”的行為者。其中,張旭光2005年在受中國黑客圈歡迎的“華夏黑客同盟”申請出任版主,他的個人資料顯示他當時只有16歲,居住地列為內蒙古,專長是“腳本入侵”。
中國官方星期三沒有回應路透社針對火眼公司的這一報告的詢問。中國官方長期以來一直否認存在政府支持的網絡襲擊。