据华尔街日报,谷歌公司研究人员发现,来自中共政府支持的黑客,已经开发出能够规避普通网络安全工具的技术,并使他们能够侵入政府和商业网络,多年来监视受害者而不被发现。
在过去的一年里,谷歌Mandiant部门的分析师们,发现了那些通常并非网络间谍活动目标的系统也被入侵,入侵者不是渗透到企业防火墙后的系统,而是入侵网络边缘的设备,有时是防火墙本身,并把目标放在威睿(VMware)公司或思杰系统公司(Citrix Systems)等公司的软件上。这些产品通常运行在不包含防病毒或终端检测软件的计算机上。
Mandiant公司的首席技术官查尔斯·卡马卡尔说,这些攻击经常利用以前未发现的缺陷,代表了中共黑客的聪明才智和复杂程度达到了新水平。研究人员将这些活动与一个可疑的中共附属黑客组织联系在一起原因,包括受害者的特征,包括一些多次被攻击的受害者,观察到的高度新颖的间谍技术和复杂程度,以及所需资源的水平,识别出只知道在过去曾被中国威胁行为者使用过的模糊恶意软件代码,等等。
中国否认入侵其他国家的企业或政府,并指责美国及其盟友才有类似的做法。
卡马卡尔说,除了2021年对运行微软Exchange电子邮件软件服务器进行的大规模攻击与中国有关外,中国的攻击都是精确的,往往只攻击少数高价值的政府和企业受害者。所部署的战术是如此隐蔽,以至于Mandiant认为中国对美国和西方目标的入侵范围,可能远比目前已知的要广。
他说,这些网络攻击的方法“对我们来说更难调查,而受害者自己发现这些入侵行为的难度肯定也是成倍增加的,即使有我们的猎杀技术,他们也很难发现它。”
他还说,国防承包商、政府机构以及技术和电信公司,似乎在新发现的与北京有关的攻击中首当其冲。虽然已确认的受害者的相对数量可能不多,也许只有几十个,但由于被盗内容的重要性,影响是巨大的。
美国高级官员长期以来一直将北京视为最大的网络间谍威胁,多年来一直对中国黑客组织成功入侵军事目标和国防承包商以窃取先进军事技术感到震惊。美国情报机构同样观察到被怀疑代表中共工作的黑客们的技术在不断提高。
在本月早些时候发布的年度全球威胁评估中,美国情报官员表示,中共“目前可能代表了对美国政府和私营部门网络最广泛、最活跃和最持久的网络间谍威胁”。
在最近发现的一系列黑客攻击中,被破坏的系统,往往正是旨在保护公司的系统。
例如,在1月份,Mandiant警告说,有一次攻击与中共有关,目标是安全公司Fortinet Inc.开发的防火墙软件中的一个错误。周四,Mandiant表示和其他人一起发现了Fortinet的第二个漏洞,漏洞已于上周打上补丁,也被与中国有关的黑客所利用。
Fortinet的一位女发言人说,公司已经修补了3月份披露的漏洞,会猜测谁是这次攻击的幕后黑手。根据公司的网站,1月份披露的漏洞也已经打上了补丁。在Fortinet发布的一份分析报告中,公司表示,1月份攻击的复杂性“表明是一个高级行为者”。
Mandiant说,在另一次攻击中,与中国有关的黑客利用了SonicWall公司构建的移动接入软件中,一个先前已修补的漏洞。但他们还开发了一个系统,允许他们保留对设备的访问,即使其软件被更新,这种不寻常的技术反映了黑客愿意在攻击中花费的精力。
卡马卡尔说:“有很多入侵活动都没有被察觉。我们认为这个问题比我们今天知道的要大得多。”
SonicWall发言人说,SonicWall此后发布了新的固件,可以防止这种技术发挥作用,而且攻击者利用的漏洞已在2021年打了补丁。
12月,美国国家安全局采取了不寻常的措施,警告美国组织,一个与中国有联系的黑客组织,即APT5,一直在针对思杰的软件。
思杰公司没有对寻求评论的信息作出回应。VMware的一位女发言人说,该公司已经发布了关于客户如何提高其虚拟机软件安全性的指示。