再炒中国黑客威胁论!Fireeye声称APT10和通托小组因“萨德”攻击韩国
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全4月24日讯 美国Fireeye(火眼)公司声称中国APT组织通托小组和APT10针对与美国“萨德”导弹防御系统相关的韩国职能实体发动了网络攻击。
Fireeye指证与中国相关的两个APT组织攻击韩国
Fireeye网络间谍分析负责人(前美国资深情报分析师)约翰.豪特奎斯特(John Hultquist)指出,最近几周以来,与中国政府军事情报机构相关的两个APT组织对韩国政府、军方、国防企业以及其它多个大型企业集团发起了一系列网络攻击。
Fireeye在韩国有多家客户,其中包括某个负责监督互联网安全的机构,不过,Fireeye拒绝指出成为被攻击的机构的具体名称。
FireEye公司及其他多位网络安全专家表示,中国黑客长期以来一直有针对韩国机构组织的入侵活动,但他们注意到,自从韩国同意部署“萨德”系统以来,最近数周内的攻击活动数量与强度皆有所增强。
祸起萨德导弹防御项目
“萨德”是美国全球导弹防御系统的一个子系统。该导弹系统由美国洛克希德·马丁公司主导研发和生产,是一种可车载机动部署的反导系统,具备在大气层内外拦截来袭的短程、中程和远程洲际弹道导弹的防御能力。
中方对萨德系统部署在韩国持强烈的抵制态度,因为这套系统触及范围包含了中国内陆地区,从而危及中国的国家安全。虽然韩国与美国则一再辩称,部署“萨德”仅作防御性用途,目的在于帮助韩国抵御来自朝鲜的导弹攻击威胁。“萨德”系统的首套组件已于上个月抵达韩国。
APT10和通托小组
FireEye将参与攻击的其中一个APT称为“通托小组”(Tonto),其很可能来自沈阳——驻留有众多朝鲜黑客的中国东北军事重镇;FireEye公司则将另一支团队称为APT10,其很可能与其他中国军事或者情报部门保持着密切关联。
中国国防部22日表示,中国政府一贯反对发动任何黑客攻击,且解放军方面从未支持任何黑客行为。中方同时指出,其本身也是黑客攻击的主要受害者,但并未提供任何具体细节。
豪特奎斯特表示,这两个黑客团体通过利用Web入侵手段突破目标系统,同时还使用鱼叉式攻击,诱使目标工作人员点击恶意电子邮件的附件,或者访问已感染网站。但他拒绝提供更为具体的细节。
豪特奎斯特同时补充称,其中一个黑客团体犯下某个操作安全错误,而这也成为FireEye分析师们获取归因信息的重要依据。
韩国方面回应将反击中国黑客韩国方面回应将反击中国黑客
韩国外交部于上个月表示,其网站遭受一波拒绝服务攻击的影响,而此番利用大规模计算机流量导致网站瘫痪的打击活动正是源于中国。
一位韩国发言人表示,韩国方面已经“及时采取防御措施”以确保攻击不会造成破坏性影响,同时利用“紧急应对体系”对中国黑客施以反击。韩国外交部本周明确拒绝对此事作出进一步评论,也不愿透露其引入了哪家网络安全公司或者攻击本身是否与“萨德”系统有关。
卡巴斯基观察到攻击活动,但拒绝归因
俄罗斯的卡巴斯基实验室指出,最近确实出现了新一轮攻击活动,其中使用的恶意软件似乎是由中方于今年2月研制开发完成。
卡巴斯基高级全球研究员朴成洙(Park Seong-su)解释称,攻击者们利用所谓鱼叉式钓鱼邮件将恶意软件隐藏在被伪装成国家安全、航空航天与战略利益相关标题内容的文档当中。不过,卡巴斯基公司与以往一样,拒绝对这一网络攻击进行归因指出网络攻击者,并强调称尚无证据表明这一切与“萨德”系统的部署有关
乐天集团
豪特奎斯特表示,这两个与中国政府相关的黑客团体已经迎来众多黑客主义人士的加入——即以独立身份与政府方面合作的中方黑客,且开始使用诸如“熊猫情报局(Panda Intelligence Bureau)”以及“谴责乐天集团(Denounce Lotte Group)”这类名称。
乐天集团于今年批准了一项土地互换协议,允许政府在该公司的一块高尔夫场地部署“萨德”系统。此举令其成为中国愤怒的一个焦点。
上个月,就在土地互换协议得到批准之后,乐天集团一位发言人指出其免税购物网站遭到拒绝服务攻击。另外,乐天中文网站也在今年2月遭遇病毒入侵。不过,该发言人拒绝对消息来源发表评论。
中国外交部并没有对相关网站攻击事件发表回应。在此之前,中国外交部曾对近期乐天集团遭遇的问题表态,指出中国恪守本国法律,并欢迎外国公司前来经商。
中国黑客
美国曾指责中方派出政府支持型APT团队渗透美政府与企业网络,不过多家网络安全企业表示,自两国于2015年开始实施双边网络安全协议之后,此类活动在数量已经大幅减少。
此次由FireEye命名的两个中国APT团体皆被怀疑与以往网络攻击活动有关。
FireEye认为通托(Tonto)组织正是曾于2012年被日本东京网络安全厂商Trend Micro公司(主要关注韩国政府、媒体与军方事务)所发现的由中国政府支持的黑客团体。但Trend Micro公司拒绝就此发表评论。
本月的两份网络安全报告指责“APT10”在全球范围内发动了一系列攻击,包括针对一家著名的美国贸易游说组织的攻击。其中由普华永道会计师事务所和武器制造商英国航空航天系统公司联合出具的一份报告称,中国黑客整体上正变得更加富有经验,利用特别定制的恶意软件,并且通过首先“黑入”受信任的第三方服务提供商的方式进入其攻击目标的系统。
由于APT10已经被曝光,因此FireEye在其博文中指出,APT10最近很可能会转入蜇伏状态。但其同时补充道,从长久角度来看,“相信他们未来很可能利用新型战术、技术与程序再度发起大规模网络入侵”。
E安全小编认为在中美朝韩极度敏感的时期,具有美国政府立场的Fireeye爆出这样一则语焉不详的新闻,似乎是想继续热炒中国黑客威胁论的观点,同时为萨德部署营造更多合理借口。
E安全要闻简讯
官网:
2017年4月