總部設於以色列的「安全點」(Check Point)跨國網路安全公司7日發表報告,指與中國解放軍有聯繫的駭客組織「乃康高級持續性威脅」(Naikon Advanced Persistent Threat,簡稱乃康APT),在過去5年利用新的後門技術,對東南亞國家的政府部門進行網路攻擊,竊取機密資料。
報告透露,駭客組織針對澳洲、印尼、菲律賓、越南、泰國、緬甸和汶萊在內的亞太國家的政府網路發動攻擊,竊取機密,重點是外交部、科技部和國營企業。更嚴重的是,乃康APT利用這些國家之間的外交關係擴大攻擊範圍,即攻陷一個國家的政府網路後,用這個網路作為跳板,再對其他國家發動攻擊。某國駐外使館就曾在不知情的情況下,通過受信任的渠道向所在國家的政府發送中毒文件,讓所在國家的政府網路面臨威脅。
乃康APT對這些亞太國家的政府網路使用Aria-body裝載器的新惡意軟體,目的是為乃康APT的伺服器開啟一個後門。一部政府電腦被攻陷後,Aria-body裝載器就在啟動文件夾或登陸檔(registry)中生根,從外部伺服器向這部電腦下載一個遠程控制木馬程式(trojan RAT),解密後植入這部電腦。木馬程式可以用來製造或刪除文件檔、進行截圖、在文件中搜索獲取數據,甚至可以記錄地點和主人的鍵盤敲擊。
安全點指出,鑑於於受害者的特點和駭客組織展示的能力,目的顯然是對目標政府所在國家進行情報蒐集和監控。這不僅包括從政府部門被感染的電腦和網路中尋找並搜集特定的文件,還能從移動硬碟中獲取數據,進行截圖並記錄鍵盤敲擊,為間諜活動獲取資料。
報導指,乃康APT與中國軍方有牽連的駭客組織於2015年遭美國網路安全公司發現,當時被認為是對南中國海有主權爭議的東南亞國家「從事地區電腦網路作業,搜集情報並進行政治分析」。
安全點則指:「乃康APT雖然過去5年中從雷達視線中消失了,可似乎並沒有閒著。事實剛好相反。乃康APT利用新的伺服器基礎設施、裝載器不斷的變量、無文件(fileless)記憶裝載,以及一種新的後門,能夠防止分析員對他們的活動進行跟蹤並發現他們。」(國際中心/綜合外電報導)
訂閱《蘋果》4大新聞信 完全免費
