澳门威尼斯人赌场官网

美国政治

内幕:中共黑客APT10如何进行网络攻击

【大澳门威尼斯人赌场官网2018年12月21日讯】(大澳门威尼斯人赌场官网记者林燕报导)遭美国司法部星期四(12月20日)起诉的两名中共黑客组织APT 10成员疑在天津市国家安全局大楼办公。

司法部起诉书详细介绍了中共黑客组织APT 10 如何入侵12个国家的IT托管服务和云提供商,然后以此为跳板、进一步窃取这些IT服务商的服务对象——45家美国公司或政府机构的机密信息的操作路径。

根据起诉书,APT 10至少侵入约90台、未经授权访问的计算机,并对至少45家美国科技公司或政府机构进行技术盗窃或窃取敏感信息。

中共黑客APT10 入侵操作被曝光

第一步,利用鱼叉式网络钓鱼(spear phishing)植入恶意软件到目标电脑。通常是发送定制的电子邮件——带附件的邮件,给既定目标,一旦点开邮件就中招。

为了诱骗收信人打开邮件附件,中共黑客将邮件伪装成从正常的电子邮件地址发送,同时将邮件正文和附件文件名伪装成正常内容。

例如:中共黑客发送一封鱼叉式网络钓鱼(spear phishing)邮件,且假冒一家通讯公司(受害公司1)的电子邮件地址,但实际上该邮件的发送地址显示:来自中国天津APT 10组织下的IP地址。

这封邮件被送给了一家直升机制造公司(受害公司2),主题为“C17 天线问题”,附件名为“12-204侧面着陆测试”,正文为“请查看附件”。

这种伪装让受害公司放松被恶意植入恶意软件的警惕,中共黑客组织通常使用的恶意软件包括,特洛伊木马(RAT 11)变体和Poison Ivy等允许远程访问的木马软件,同时还有按键记录器、用以窃取用户名和密码等。这些恶意软件自动与APT 10组织控制的计算机IP地址的域名进行通信。

第二步,频繁掩盖和快速更改恶意域名。起诉书提到,APT 10 组织特别使用动态域名系统(DNS)服务商来托管恶意域名,包括使用一家位于纽约南区的提供商的服务,该提供商允许APT 10 将恶意软件中预先编程的恶意域名分派到他们控制的不同IP地址计算机上。

这种操作模式使APT 10能够频繁、快速地更改与其恶意域名相关的IP地址,而无需调整受害者计算机上已有的恶意软件或域名,这为APT 10提供操作灵活性和持久性,并帮助他们绕过网络检测——对已识别的恶意IP地址进行网络安全过滤。

根据起诉书,APT 10注册了约1,300个用于盗窃IT托管服务提供商(MSP)活动的恶意域名,其中一些是2010年前后开立的账户。

第三步,在成功安装恶意软件之后,APT 10向受感染的计算机系统指示下载更多的恶意软件和工具,以进一步侵蚀受害者的计算机。

第四步,在APT 10组织成员识别出受害者计算机上有感兴趣的数据后,他们从受感染的计算机上收集文件和信息,并将盗取的文件和信息加密后、发给他们控制的计算机。

第五步,一旦APT 10从IT托管服务提供商的计算机窃取到管理凭证,它就会使用这些被盗的凭证启动与被托管服务客户之间的远程桌面协议(“RDP”)连接。

这种操作模式使APT 10组织能够侵入托管服务商及其客户网络的内部互联网络,并危及托管服务商及其客户的那些未安装恶意软件的计算机。

第六步,APT 10 通常会进行删除动作,以避免被检测或识别到文件被盗。而且,每次在美国政府或某些安全公司发布公开报告,揭露APT 10 组织在进行恶意软件或域名操作后,APT 10就快速修改或放弃了此类黑客攻击,而转入其它更隐蔽的形式继续进行活动。

起诉书指,APT 10 入侵的托管服务商至少为12个国家的不同公司服务,受害者包括:一家全球金融机构;三家电信和/或消费电子公司;三家商业或工业制造公司;两家咨询公司;一家医疗保健公司;一家生物技术公司;一家采矿公司;一家汽车供应商公司以及一家钻井公司。

此外,APT 10还窃取了四十多台美国军方计算机,并窃取10万个海军人员的个人敏感数据,包括姓名、社会安全号码、出生日期、工资信息、个人电话号码以及电子邮件地址。

APT 10 疑在天津市国家安全局大楼办公

根据起诉书,APT 10 位于中国境内,在天津和其它地区进行活动,同时是在中国白天的工作时间、办公室环境下进行活动。

这些年来外界一直在曝光中共的黑客组织,除了之前的APT 3外,APT 10的攻击活动也被频繁曝光。7月底,一家自称“入侵真相”(Intrusion Truth)的神秘组织根据优步收据和其它信息揭露,一名 APT 10 成员上车的起点是天津市河西区珠江道85号,这正是天津市国家安全局的总部大楼所在地址。

“入侵真相”曝光的APT 10三名黑客姓名,其中之一就是司法部这次提告的张士龙。#

责任编辑:林妍