2021年6月4日

 

以色列網路安全公司說，疑似來自中國的駭客，以“網路釣魚”的方式不斷試圖入侵某東南亞國家的政府系統。與此同時，駭客還以仿冒聯合國檔的方式，試圖盜取中國境內外維吾爾人的電腦系統資訊。

以色列“檢查站”（Check Point）軟體技術公司的研究部門“CPR”星期四（6月3日）發表的最新分析報告，沒有透露受攻擊的政府部門具體是在哪一個東南亞國家。報告說，駭客假冒成政府雇員，向該國的政府員工發送附有微軟docx文檔的電子郵件。用戶打開這些文檔後，電腦就會從駭客指定的外部伺服器繼續下載包含惡意工具的檔案。

報告說，這一惡意工具叫做“RoyalRoad”（意為“皇家路”），在中國駭客圈中常常使用。該工具利用的是舊版微軟公式編輯器（Microsoft Equation Editor）中的安全性漏洞。

 

CPR的報告說，駭客經過多個步驟，最終在目標使用者的電腦中安裝後門模組。報告說，這一後門可以刪除、創建、重命名、閱讀、改寫用戶電腦中的檔，獲取電腦資訊、獲取電腦螢幕截圖、甚至可以關閉電腦。

CPR的研究人員認為，該駭客組織不斷測試和加強這一攻擊策略，至少用了3年時間。報告說，研究人員有“中度”（medium）到“高度”（high）的信心可以判定，駭客來自中國。

報告說，除了“皇家路”惡意軟體與中國駭客群體的關聯之外，襲擊程式的活動時段符合中國的上班時間；並且在5月1日到5日這段時間內沒有進行任何活動，這可能與中國的勞動節假期有關；此外，後門程式的測試版本檢測聯網狀態的方式，是試圖連接中國的百度網站；在網路安全分析服務網站VirusTotal上，也可以找到從中國上傳的某些後門版本。

 

稍早前，這家網路安全公司5月27日發佈的另一份研究報告中說，疑似來自中國的駭客用網路釣魚的方式，假冒聯合國檔、引誘中國和巴基斯坦境內的維吾爾人下載和點擊惡意程式和連結。

CPR和卡巴斯基全球研究與分析團隊合作進行的這一調查發現，駭客向維吾爾用戶發送帶有聯合國人權理事會標示的仿冒檔，作為安裝後門程式的媒介。

駭客還將用戶指向一個名為“突厥文化與傳統基金會”的假冒網站，如果用戶點擊網站上的“申請資金”連結，會被要求進行所謂的安全掃描，這一步驟會使駭客獲取使用者系統中的資料。

 

Check Point網路威脅情報工作組總監洛特姆·芬克爾斯坦（Lotem Finkelstein）透過電子郵件對美國之音說：“這種攻擊策略的新穎之處在於，駭客利用了襲擊目標那種受迫害的感受來欺騙他們。駭客設計這種攻擊，誘使受害者在進入釣魚網站的慈善基金頁面之前掃描他們的電腦，使他們執行冒充為殺毒掃描程式的惡意軟體。”

芬克爾斯坦說，雖然不能確定有關襲擊是中國政府發動的網路攻擊，但來自中國民間的可能性很高。

芬克爾斯坦說：“這些年來，尤其是在這個民族主義的時代，我們看到越來越多的民間駭客組織參與到被認為是關乎國家利益的行動中……我們雖不能最終將其指向中國（政府），但可以將其歸咎於中國駭客。因為我們知道，最根本的相關代碼實際上都可以在中文論壇上找到，我們一般認為，政府不會使用的這些東西。”

 

CPR的報告說，針對維吾爾群體的這一網路釣魚式攻擊在2020年最為活躍，但目前仍在進行。研究人員說，他們發現駭客正在創建冒充土耳其和馬來西亞政府部門的釣魚網站，這表明，駭客可能計畫在未來對這兩個國家的維吾爾群體展開攻勢。