美曝光中共黑客对话 揭“链式”作案手法
【大澳门威尼斯人赌场官网2020年09月22日讯】(大澳门威尼斯人赌场官网记者宋唐报导)美国司法部9月16日宣布对隶属于代号APT41的中共黑客组织的5名中国籍成员以及2名马来西亚籍外应的指控。他们被指控攻击包括美国在内的一百多家公司及实体。
两名马来西亚人已经被捕,美国司法部向5名中共黑客发布了逮捕令。
从起诉书内容看,两名被起诉的马来西亚商人,单纯以世界各地的游戏公司为黑客目标,以牟利为动机。而5名中共黑客瞄准的对象则要广泛得多,使用的技术也很专业、高级和复杂,如租用国外的c2服务器(Command & Control Server),进行“链式攻击”,即通过攻击通信商,来攻击其客户;设置假网页,利用安全漏洞等。
中共黑客除了牟利外,更多对商业机密和政治信息感兴趣,还开发大数据收集工具,监视异议人士,与中共网攻模式合拍。
美国司法部起诉书显示,中共黑客自曝,因为有公安保护才能做事。
被起诉的5名中共黑客,分别是成都404公司的蒋立志、钱川、付强,以及有时单干、有时与其合伙的黑客张浩然、谭戴林。
以下根据美国司法部发布的对成都404公司(成都市肆零肆网络科技有限公司)黑客同伙的起诉书,详解中共黑客团伙的作案手段和目标。本文(上篇)通过黑客之间的对话,曝光其“链式攻击”作案手法。
通过入侵电信商 进而入侵客户的“链式攻击”
总部设在欧洲的“ECS #1”,是一家受欢迎的电信商(ECS),在欧洲、美国等地开展业务。
从2015年6月开始,成都404公司的黑客同伙,在“ECS #1”的电脑上安装了恶意软件;直到2017年2月之前,黑客同伙一直保持对“ECS #1”电脑的访问权。
黑客同伙劫持了该公司数十台电脑,查看“ECS #1”的源代码和代码签名证书,获取有价值的业务和个人信息,包括“ECS #1”提供的客户账户登录凭证。
黑客同伙随后利用这些信息,入侵“ECS #1”客户的账户,访问他们的网络,这些客户包括“硬件制造商 #2”和“医疗供应商#3”。
“硬件制造商 #2”是一家位于美国加利福尼亚的硬件制造商,为美国和其它国家提供高端硬件。
在2017年1月12日或前后,黑客同伙登录“硬件制造商 #2”的“ECS #1”账户,在该公司的电脑上安装了Winnti/Pasteboy和Barlaiy/PoisonPlug恶意软件。通过这些恶意软件,窃取“硬件制造商 #2”的信息,入侵给“硬件制造商 #2”造成的损失,包括补救费用,超过100万美元。
“医疗供应商#3”是一家总部设在美国的医疗供应商和研究机构,2018年5月3日或前后,黑客同伙未经授权,获得了分配给“医疗供应商#3”的“ECS #1”账户访问权限。在其受保护电脑上安装了Crosswalk/ProxIP恶意软件。
入侵“ECS #1”客户电脑 黑客玩“上瘾”
黑客同伙在入侵“ECS #1”客户账户的过程中,互相之间还交流经验。在 2017年11月13日,蒋立志与成都404公司另一名“黑客4”之间有一次聊天。
在这段聊天中,蒋和“黑客4”讨论了如何利用“ECS #1”提供的账户,寻找其它可以入侵的电脑。
蒋告诉“黑客4”,通过“股票网站”搜索上市公司名单,“很容易”找到目标公司。蒋告诉“黑客4”,确定了这些上市公司,找到它们的网站地址,然后“直接搜索”与这些地址相关的“ECS #1”账户。“黑客4”按照蒋的建议,将目标锁定在一家总部位于香港的连锁酒店。
黑客4:你玩“ECS #1”越来越上瘾了。我第一次开始玩“ECS #1”的时候,我也是这样,哈哈哈哈。感觉有点像玩彩票。
蒋:计划收集两三万台机器,那样的话,会有一些收入。
黑客4:另一家是什么公司?看看能不能让他们付款。
蒋:马来西亚某公司,与汽车有关,不知道详细情况,但是……
黑客4:好了,我先去准备一下,洗个澡再说吧。
蒋:我看到一家(酒店)了。
黑客4:酒店?
蒋:是……
蒋:看起来里面有很多机器……
黑客4:那就好办了。
蒋:我觉得图书馆也会有价值……
黑客4:查找登录记录。
蒋:弄好了吗?
黑客4:弄好了。
黑客4:哈哈,都是有钱人。
蒋:想像一下,群发勒索邮件,哈哈哈哈。
黑客4:里面有用的东西应该不少,只是要想好怎么用。
在某些情况下,蒋和“黑客4”利用其盗取的“ECS #1”客户的账户,入侵“ECS #1”客户公司网络,然后利用这些网络上的电脑进行加密劫持计划。
例如,2017年12月6日,蒋告知“黑客4”:“这里开始挖矿了,一个新加坡的域名,有7000多台机器。上一个高峰期在线机器数量约为1000台,现在计算能力大大降低,我想是很多人都下班了的原因吧。我们应该多弄些域名来增加计算能力。看看如果我们的机器总数达到1万台左右,效果如何。”
为了确定更多的目标,蒋建议“黑客4”说:“法国和意大利也不错,有很多知名企业,而且大多不是搞IT的……。搜索法国和意大利的知名企业,照做就可以了。……唯一的就是时差有点麻烦。晚上上‘ECS #1’,正好是他们的工作时间。”
试图控制 “域控制器”服务器
黑客同伙有时会努力取得“域控制器”(domain controllers)服务器的控制权,许多公司网络用这些服务器,来控制安全认证请求和其它要求。有了这种访问权限,就可以方便地访问更多公司里面的电脑。
例如,如下所示,2017年11月29日,蒋和“黑客4”讨论了通过窃取密码等方式,入侵一家位于瑞典的跨国零售商“域控制器”的努力。
蒋:(跨国零售商)那个,你拿到了域控制器的密码?
“黑客4”:你那边不是有域控制器的密码吗?
“黑客4”:我没有弄到密码。
“黑客4”:这个域控制器的密码,在过去的几天里,真TM的很难搞到。
蒋:哦,是的,但我也没有弄到域名密码……
“黑客4”:需要纯文本密码,对吧?
“黑客4”:我一会儿就去看看。
蒋:是的,因为他们需要域控制器的账户,来部署采矿方案……
下篇继续介绍遭受中共黑客袭击的全球公司和实体,从各行业大公司到多国大学和政府,中共黑客的黑手触及范围之广,令人震惊。
责任编辑:林妍#