2019年12月20日

 

荷蘭一家網路安全公司星期四（12月19日）發佈報告說，一個疑似與中國政府有關聯的駭客組織，在沉寂數年後捲土重來，對至少十個國家的商業組織發動多起網路攻擊。

這群駭客可能屬於一個被網路安全部門命名為“APT20”的組織。荷蘭網路安全公司Fox-IT說， 遭襲擊的公司涉及航空、建築、金融、醫療、保險、博彩、能源等領域。研究人員說，他們有很高的把握可以認定這些網路活動行為人屬於一個中國組織，活動目的是為了支援中國政府的利益。

網路駭客組織“APT20” 2009年至2014年期間曾攻擊過世界各地的大學、軍方組織、醫療機構和電信公司。據彭博社報導，沉寂多年後，Fox-IT公司2018年發現這一組織再度活躍，襲擊了美國、英國、法國、德國、義大利、巴西、墨西哥、葡萄牙、西班牙和中國的電腦系統。

 

報導說，被襲擊的中國公司是一家半導體企業。Fox-IT公司拒絕透露這家公司的名稱。

駭客透過向目的電腦系統植入鍵盤記錄惡意軟體來盜取密碼。該組織還破解過一個RSA數位加密程式。

Fox-IT確認駭客的中國身份，至少透過以下幾個依據：

首先，Fox-IT公司說，儘管駭客試圖掩蓋行蹤，通常會刪除他們用來從被攻擊的電腦上竊取資料的工具，但該公司發現，駭客使用的是一款網路流覽器，在發送HTTP請求時，洩露了這款流覽器設置的語言包括簡體中文。

 

第二，Fox-IT公司在執法部門的幫助下追蹤駭客的活動，找到該組織購買的一個網路服務器。調查人員發現，駭客用比特幣支付購買伺服器的費用，並提供一個偽造的美國位址。駭客在“州名”一欄中留下的是用簡體中文書寫的“路易斯安那州”。

第三，從時間上來看，駭客的活躍時間從北京時間的上午10點開始，持續8到10個小時，這表明他們在中國的時區開展活動。

最後，Fox-IT的網路安全人員說，他們幫助一個被黑的伺服器移除惡意後門程式後，駭客發現自已行蹤暴露，多次發送命令代碼但無法進入該伺服器後，可能惱羞成怒，打出一個拼寫為“wocao”的命令。Fox-IT說，“Wocao”是中文裡一句常見髒話。