E安全8月26日讯 据报道，FBI指控中国黑客参与入侵了美国人事管理办公室（简称OPM），并于周一发布了起诉书。美国联邦官员本周在洛杉矶国际机场逮捕中国公民余平安（音译），指控其在OPM入侵事件中曾实施入侵活动。

事件回顾：

2015年OPM遭遇黑客入侵：黑客从OPM中窃取了2156万联邦人员的个人信息，包括560万联邦人员的指纹记录，420万在任和前美国政府雇员的个人资料，而当时时任OPM局长的凯瑟琳·阿奎莱拉因此引咎辞职。

据余平安的律师称，他只是来洛杉矶参加一个国际会议的无辜教师，在上海工作。

FBI通过搜查令获取了余平安的简历。余平安，1980年12月16日出生，居住在中国上海，特长包括计算机网络安全和计算机编程。

余平安在美国参加会议后就被捕，他被指控曾出售攻击OPM的恶意软件Sakula。 Sakula在当时是一款十分罕见的“隐身”恶意软件。

起诉状称，余平安及同谋攻击了圣地亚哥（A公司）、马萨诸塞州（B公司）、洛杉矶（C公司）和亚利桑那州（D公司）4家公司。他被指控使用罕见的混合恶意软件（主要是Sakula家族的攻击代码），并通过未正确打补丁的浏览器渗透这些公司的服务器。

起诉状指出，余平安及中国同谋可能获取并使用恶意软件工具，其中一些是FBI和信息安全界未确定的罕见恶意软件变种，包括Sakula。余平安等人或与互联网服务提供商和网站创建域名、IP地址和账号基础设施，以对美国和其它地区的计算机网络实施入侵，可能使用了基础设施各种元素和技术（包括水坑式攻击），偷偷安装或设法在美国和其它地区的计算机网络上安装文件和程序，包括但不限于上述公司。

起诉状内容

起诉状中控诉余平安等人的行为包括：

• 2011年4月17日，余平安向同谋者#1称自己掌握着一个Adobe Flash软件漏洞利用。

• 2011年7月27日，余平安和同谋者#2讨论在某公司安装RAT，同谋者警告余不要引起FBI注意。

• 2012年8月7日或之前，一名同谋者将恶意软件安装在A公司的计算机网络中。

• 2012年9月18日或之前，一名同谋者将恶意文件（利用了0Day漏洞CVE-2012-4969的恶意文件）安装在C公司的计算机网络中。

• 2012年12月12日或之前，一名同谋者将恶意软件安装在C公司的Web服务器上，利用Sakula恶意软件实施水坑式攻击。

• 2013年1月1日或之前，一名同谋者在C公司的Web服务器上安装恶意文件（利用了0Day漏洞CVE-2012-4792的恶意文件），并将Sakula变种“mediacenter.exe”下载至第三方受害者的计算机上。

• 2013年6月7日或之前，一名同谋者在B公司的Web服务器上安装了恶意文件，导致Sakula变种“mediacenter.exe”下载到受害者的计算机上。

• 2013年12月3日或之前，一名同谋者将恶意软件安装到A公司的计算机网络上。

• 2014年1月17日或之前，一名同谋者将恶意文件（利用了0Day漏洞CVE-2014-0322的恶意文件）安装到IP地址为173.252.252.204的服务器上。这些文件导致Sakula变种“mediacenter.exe”下载到受害者的计算机上。

2012年2月，这款恶意软件利用IE浏览器 0Day漏洞（CVE-2012-4969）设法感染了公司网站147位访客。

4家公司如何发现被攻击？

攻击于2012年8月浮出水面，当时其中一家遭遇入侵的公司在服务器上发现高级恶意软件，并通知了FBI。

FBI分析该恶意软件之后，又查到了第二家被入侵的公司。2012年5月至2013年1月，该恶意软件利用了5个不同的0Day漏洞攻击这家公司的网站。

2013年6月7日，第三家公司也被十分罕见的Sakula变种感染。调查发现，这三起案例使用的恶意软件与同一个控制与命令服务器通信。

2012年12月14日，黑客使用PlugX恶意软件（包含键盘记录组件）感染第四家公司。这款恶意软件之后窃取了大量文件和键盘记录数据，并发送回控制器。

FBI声称已经掌握了余平安以网名“GoldSon”与中国同谋者讨论入侵与使用恶意软件事宜的相关通信。FBI声称余平安使用的电子邮箱为goldsun84823714@gmail.com，并称在其中一个Sakula恶意软件样本中发现解密密钥为“Goldsunfucker”。

余平安被控将高级恶意软件提供给中国的犯罪分子，之后犯罪分子劫持了韩国一个由微软运营的合法域名。余平安曾声称同伙使用Sakula可能会殃及自己。

余平安与penelab.com网站的联系

如果FBI的指控成立，余平安就是入侵OPM的恶意软件开发人员。起诉书还指出，余平安与同谋者有过交易。2013年3月，余平安通过电子邮件向同谋者1发送了两个恶意软件样本：“adjesus”和“hkdoor”。

FBI还未破译adjesus，但源码记录显示，adjesus曾在渗透测试工具网站——penelab.com——公开销售。

hkdoor的部分代码显示，hkdoor曾在Penelab上被名为“Fangshou”的客户买走径。

FBI获取的通信和开源记录都表明，余平安正是penelab.com的网站运营者。

余平安被关押等待下周的庭审。

外交部发言人华春莹在8月25日例行记者会上表示，中方一贯重视保障海外中国公民的合法权益，并为海外中国公民提供必要的领事保护与协助。

问：美国逮捕了一位中国公民，认为其涉嫌提供了用以窃取美国政府雇员数据的恶意软件。你对此有何评论？

答：我注意到有关报道，不掌握你说的具体情况。我愿重申，中国政府坚决反对并依法打击各种形式的非法网络活动。这一立场是一贯的、明确的。

同时，中方一贯重视保障海外中国公民的合法权益，并为海外中国公民提供必要的领事保护与协助。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/1020351321.shtml

▼点击“阅读原文” 下载E安全APP