【大纪元2014年02月18日讯】(大纪元英文版Joshua Philipp报导/张东光编译)美国最新型网络攻击防护领导厂商FireEye公司的安全人员日前发现,中国黑客为了刺探军事情报,正透过网络入侵美国最大的退伍军人组织。该公司称此攻击为“雪人运行”(Operation SnowMan),因其入侵的时机正好是冬季风暴狂吹和美国政府员工休假的国定假日。
这起攻击试图锁定每一位访问“国外战争退伍军人组织”(VFW)网站的人,并透过远程访问木马(RAT)的安装来监控和控制他们的个人电脑。该组织为国会特许机构,提倡军队福利并提供协助伤残的退伍军人向退伍军人事务部门索赔的服务,会员人数达2万人。
FireEye在公司博客上写道:“‘雪人’攻击的一个可能目的是锁定军人来窃取军事情报,除了退休军人外,现役军人也会使用VFW网站。”并指出攻击的时间恰巧是总统日,“在严酷的冬季暴雪中,美国国会大厦多数的部门在周四都关闭。”
在这起攻击中,中国的黑客在VFW网站上植入了自己以前访问该网站记录的被感染代码,如果有人以Adobe Flash运行的Internet Explorer 10浏览器访问该网站,其个人电脑就会被感染。如果将电脑重新配置,就可能不会被感染了。
到目前为止,VFW网站仍无人证实这些被感染的代码是否被移出。
这种攻击的形态是所谓的水坑攻击(Watering Hole Attack),比喻受害者会不知不觉间到一个水底下潜藏鳄鱼(指黑客)的水源边喝水。此一方式常被中共和俄罗斯等国家支持的黑客所使用。
FireEye的研究人员表示,他们相信这起攻击源自中国。它带着国家运作式攻击的标签,如入侵标的属性和入侵的安全漏洞,以及它与其它源自中国的先进攻击的许多类似点。
通过分析“雪人运行”后,研究人员指出它与Operation DeputyDog和Operation Ephemeral Hydra等最近两起中国黑客攻击有关联。前者在2013年9月被发现,它锁定了在日本的电脑网络。后者在2013年11月被发现,它安装类似的间谍系统于一个不知名的网站上,FireEye称该网站“到访者很可能对国家或国际安全政策有兴趣”。这两起攻击都跟2013年2月入侵Bit9安全系统的中国黑客有关。
这三起攻击事件除了拥有相同的网址外,也使用了类似的攻击手法和技巧。他们都采用零时差(Zero Day)攻击,零时差的安全漏洞问题到现在都还未被修补,黑客往往用它来安装远程访问木马于用户的个人电脑上。
FireEye指出,中国黑客最近几起攻击的目标包括了美国政府、日本企业、国防承包商、矿产公司、民间组织和资讯科技公司等。
(责任编辑:毕儒宗)
