2019年8月8日

 

美國網路安全公司“火眼”（FireEye）星期三（8月7日）宣佈，他們發現一個具有國家政治和經濟目的、同時也透過網路入侵活動中飽私囊的中國駭客組織。火眼公司的報告說，這一組織侵入15個國家和地區多個關鍵行業的網路系統，其中一些成員“入行”時的年齡可能不到16歲。

火眼公司將這一組織命名為“APT41”（“APT”是“先進持續威脅”的縮寫，指一種隱秘持久的駭客襲擊過程）。

火眼公司的報告說，APT41組織自2012年開始襲擊包括美國、英國、法國、日本、新加坡、印度、香港等15個國家和地區，一開始的活動主要針對網路遊戲公司，並明顯是以金錢利益為目的。但從2014開始，其活動更具經濟間諜色彩，有時帶有政治目的。

 

火眼公司說，該公司以相當大的把握評斷，APT41是一群為中國政府效力、從事網路間諜活動的中國個人。這些個人的某些行動有時也受個人利益的驅使。

該公司高級副總裁桑德拉·喬伊絲星期三在美國拉斯維加斯說：“APT41與其他那些與中國有關聯的網路行為者不同，這一組織使用一些通常是間諜活動專用的工具，卻用於個人獲利的活動。他們十分活躍，技術高超，資源雄厚。APT41在間諜和網路犯罪方面進行富有攻擊性和持續性的行動，相較其他對手有所不同，對許多行業構成重要威脅。”

受攻擊的對象包括醫療、製藥業、半導體、電腦軟體與硬體公司、電信業、旅遊業、新聞媒體等。“火眼”報告說，很多受襲擊對象與中國的“十二五”和“十三五”計畫、以及“中國製造2015”規劃中指出的關鍵行業相關。

 

例如，該組織多次襲擊外國電信巨頭的網路系統，獲取通話記錄，一些研發人工智慧、自動駕駛汽車、醫療圖像、半導體、雲計算等技術的科技公司也受襲擊。

報告說，在中國政府高級官員的一次外交出訪的兩星期前，APT41組織攻擊了官員計畫下榻酒店系統，獲取該酒店預定系統中的個人資訊。火眼公司認為，這顯示該組織是在官方指示下對這酒店進行“排查”。該公司沒有具體說明遭受襲擊的酒店名稱和所在國家。

報告還特別提到，APT41組織可能參與中國官方對香港“雨傘運動”參與者的打壓活動。

 

報告說，2016年7月至8月以及2017年10月期間，這一組織向支援民主派的香港媒體發送了“魚叉式網路釣魚”（spear-phishing）郵件。“火眼”報告說，攻擊時間與香港民主派參加立法會選舉和此後立法會宣誓風波有關，這也是該組織記錄到的APT41第一次對香港民主派組織的攻擊。

火眼公司發現，襲擊者通常在中國網路工作人員中常見的“996工作制”（早9點至晚9點上班，一周工作6天）中的上班時間段，從事那些可能是受政府指示的網路間諜活動；然後在深夜的“業餘時間”，透過襲擊網路遊戲平臺為個人牟利。

調查報告說，這一組織的成員從2012年就開始襲擊亞洲和美國的網路遊戲公司，他們從針對網遊公司的駭客行動中積累的經驗，同時也明目張膽地聚斂虛擬貨幣，有時也透過地下網路的勒索軟體向遊戲公司索要現實貨幣。

 

報告說，該組織在一次對某網遊平臺的行動中，不到3小時就獲得價值數千萬美元的一種遊戲虛擬貨幣。報告說，這些虛擬貨幣被分散轉入1千多個帳戶，很可能最後透過地下交易出售。

報告特別提到APT41中名為“張旭光”（Zhang Xuguang）和“Wolfzhi”的行為者。其中，張旭光2005年在受中國駭客圈歡迎的“華夏駭客同盟”申請出任版主，他的個人資料顯示他當時只有16歲，居住地列為內蒙古，專長是“腳本入侵”。

中國官方星期三沒有回應路透社針對火眼公司這篇報告的詢問。中國官方長期以來一直否認存在政府支援的網路襲擊。