中国公民赴美开会被FBI当黑客逮捕,我外交部回应说……
E安全8月26日讯 据报道,FBI指控中国黑客参与入侵了美国人事管理办公室(简称OPM),并于周一发布了起诉书。美国联邦官员本周在洛杉矶国际机场逮捕中国公民余平安(音译),指控其在OPM入侵事件中曾实施入侵活动。
事件回顾:
2015年OPM遭遇黑客入侵:黑客从OPM中窃取了2156万联邦人员的个人信息,包括560万联邦人员的指纹记录,420万在任和前美国政府雇员的个人资料,而当时时任OPM局长的凯瑟琳·阿奎莱拉因此引咎辞职。
FBI为何指控余平安等人?
据余平安的律师称,他只是来洛杉矶参加一个国际会议的无辜教师,在上海工作。
FBI通过搜查令获取了余平安的简历。余平安,1980年12月16日出生,居住在中国上海,特长包括计算机网络安全和计算机编程。
余平安在美国参加会议后就被捕,他被指控曾出售攻击OPM的恶意软件Sakula。 Sakula在当时是一款十分罕见的“隐身”恶意软件。
起诉状称,余平安及同谋攻击了圣地亚哥(A公司)、马萨诸塞州(B公司)、洛杉矶(C公司)和亚利桑那州(D公司)4家公司。他被指控使用罕见的混合恶意软件(主要是Sakula家族的攻击代码),并通过未正确打补丁的浏览器渗透这些公司的服务器。
起诉状指出,余平安及中国同谋可能获取并使用恶意软件工具,其中一些是FBI和信息安全界未确定的罕见恶意软件变种,包括Sakula。余平安等人或与互联网服务提供商和网站创建域名、IP地址和账号基础设施,以对美国和其它地区的计算机网络实施入侵,可能使用了基础设施各种元素和技术(包括水坑式攻击),偷偷安装或设法在美国和其它地区的计算机网络上安装文件和程序,包括但不限于上述公司。
起诉状内容
起诉状中控诉余平安等人的行为包括:
2011年4月17日,余平安向同谋者#1称自己掌握着一个Adobe Flash软件漏洞利用。
2011年7月27日,余平安和同谋者#2讨论在某公司安装RAT,同谋者警告余不要引起FBI注意。
2012年8月7日或之前,一名同谋者将恶意软件安装在A公司的计算机网络中。
2012年9月18日或之前,一名同谋者将恶意文件(利用了0Day漏洞CVE-2012-4969的恶意文件)安装在C公司的计算机网络中。
2012年12月12日或之前,一名同谋者将恶意软件安装在C公司的Web服务器上,利用Sakula恶意软件实施水坑式攻击。
2013年1月1日或之前,一名同谋者在C公司的Web服务器上安装恶意文件(利用了0Day漏洞CVE-2012-4792的恶意文件),并将Sakula变种“mediacenter.exe”下载至第三方受害者的计算机上。
2013年6月7日或之前,一名同谋者在B公司的Web服务器上安装了恶意文件,导致Sakula变种“mediacenter.exe”下载到受害者的计算机上。
2013年12月3日或之前,一名同谋者将恶意软件安装到A公司的计算机网络上。
2014年1月17日或之前,一名同谋者将恶意文件(利用了0Day漏洞CVE-2014-0322的恶意文件)安装到IP地址为173.252.252.204的服务器上。这些文件导致Sakula变种“mediacenter.exe”下载到受害者的计算机上。
2012年2月,这款恶意软件利用IE浏览器 0Day漏洞(CVE-2012-4969)设法感染了公司网站147位访客。
4家公司如何发现被攻击?
攻击于2012年8月浮出水面,当时其中一家遭遇入侵的公司在服务器上发现高级恶意软件,并通知了FBI。
FBI分析该恶意软件之后,又查到了第二家被入侵的公司。2012年5月至2013年1月,该恶意软件利用了5个不同的0Day漏洞攻击这家公司的网站。
2013年6月7日,第三家公司也被十分罕见的Sakula变种感染。调查发现,这三起案例使用的恶意软件与同一个控制与命令服务器通信。
2012年12月14日,黑客使用PlugX恶意软件(包含键盘记录组件)感染第四家公司。这款恶意软件之后窃取了大量文件和键盘记录数据,并发送回控制器。
FBI声称掌握了“余平安”的通信
FBI声称已经掌握了余平安以网名“GoldSon”与中国同谋者讨论入侵与使用恶意软件事宜的相关通信。FBI声称余平安使用的电子邮箱为goldsun84823714@gmail.com,并称在其中一个Sakula恶意软件样本中发现解密密钥为“Goldsunfucker”。
余平安被控将高级恶意软件提供给中国的犯罪分子,之后犯罪分子劫持了韩国一个由微软运营的合法域名。余平安曾声称同伙使用Sakula可能会殃及自己。
余平安与penelab.com网站的联系
如果FBI的指控成立,余平安就是入侵OPM的恶意软件开发人员。起诉书还指出,余平安与同谋者有过交易。2013年3月,余平安通过电子邮件向同谋者1发送了两个恶意软件样本:“adjesus”和“hkdoor”。
FBI还未破译adjesus,但源码记录显示,adjesus曾在渗透测试工具网站——penelab.com——公开销售。
hkdoor的部分代码显示,hkdoor曾在Penelab上被名为“Fangshou”的客户买走径。
FBI获取的通信和开源记录都表明,余平安正是penelab.com的网站运营者。
余平安被关押等待下周的庭审。
我国外交部回应
外交部发言人华春莹在8月25日例行记者会上表示,中方一贯重视保障海外中国公民的合法权益,并为海外中国公民提供必要的领事保护与协助。
问:美国逮捕了一位中国公民,认为其涉嫌提供了用以窃取美国政府雇员数据的恶意软件。你对此有何评论?
答:我注意到有关报道,不掌握你说的具体情况。我愿重申,中国政府坚决反对并依法打击各种形式的非法网络活动。这一立场是一贯的、明确的。
同时,中方一贯重视保障海外中国公民的合法权益,并为海外中国公民提供必要的领事保护与协助。
注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com/news/1020351321.shtml
相关阅读:
▼点击“阅读原文” 下载E安全APP