植木馬竊情報 中國黑客駭美退休軍人網站

【大紀元2014年02月18日訊】（大紀元英文版Joshua Philipp報導／張東光編譯）美國最新型網絡攻擊防護領導廠商FireEye公司的安全人員日前發現，中國黑客為了刺探軍事情報，正透過網絡入侵美國最大的退伍軍人組織。該公司稱此攻擊為「雪人運行」（Operation SnowMan），因其入侵的時機正好是冬季風暴狂吹和美國政府員工休假的國定假日。

這起攻擊試圖鎖定每一位訪問「國外戰爭退伍軍人組織」（VFW）網站的人，並透過遠程訪問木馬（RAT）的安裝來監控和控制他們的個人電腦。該組織為國會特許機構，提倡軍隊福利並提供協助傷殘的退伍軍人向退伍軍人事務部門索賠的服務，會員人數達2萬人。

FireEye在公司博客上寫道：「『雪人』攻擊的一個可能目的是鎖定軍人來竊取軍事情報，除了退休軍人外，現役軍人也會使用VFW網站。」並指出攻擊的時間恰巧是總統日，「在嚴酷的冬季暴雪中，美國國會大廈多數的部門在週四都關閉。」

在這起攻擊中，中國的黑客在VFW網站上植入了自己以前訪問該網站記錄的被感染代碼，如果有人以Adobe Flash運行的Internet Explorer 10瀏覽器訪問該網站，其個人電腦就會被感染。如果將電腦重新配置，就可能不會被感染了。

到目前為止，VFW網站仍無人證實這些被感染的代碼是否被移出。

這種攻擊的形態是所謂的水坑攻擊（Watering Hole Attack），比喻受害者會不知不覺間到一個水底下潛藏鱷魚（指黑客）的水源邊喝水。此一方式常被中共和俄羅斯等國家支持的黑客所使用。

FireEye的研究人員表示，他們相信這起攻擊源自中國。它帶著國家運作式攻擊的標籤，如入侵標的屬性和入侵的安全漏洞，以及它與其它源自中國的先進攻擊的許多類似點。

通過分析「雪人運行」後，研究人員指出它與Operation DeputyDog和Operation Ephemeral Hydra等最近兩起中國黑客攻擊有關聯。前者在2013年9月被發現，它鎖定了在日本的電腦網絡。後者在2013年11月被發現，它安裝類似的間諜系統於一個不知名的網站上，FireEye稱該網站「到訪者很可能對國家或國際安全政策有興趣」。這兩起攻擊都跟2013年2月入侵Bit9安全系統的中國黑客有關。

這三起攻擊事件除了擁有相同的網址外，也使用了類似的攻擊手法和技巧。他們都採用零時差（Zero Day）攻擊，零時差的安全漏洞問題到現在都還未被修補，黑客往往用它來安裝遠程訪問木馬於用戶的個人電腦上。

FireEye指出，中國黑客最近幾起攻擊的目標包括了美國政府、日本企業、國防承包商、礦產公司、民間組織和資訊科技公司等。

（責任編輯：畢儒宗）