【2023年03月30日訊】(記者李言綜合報導)美國一家私營網絡安全公司在週四(3月30日)的一份新報告中說,一個可能是由中共政府支持的中國黑客組織,以前曾涉入攻擊美國國家計算機,現在仍然「高度活躍」,並且正在關注可能對中共及其安全部門具有戰略意義的廣泛目標。
美聯社報導,網絡安全公司Insikt Group的威脅研究部門戰略和持續威脅主管喬恩‧康德拉(Jon Condra)說,這個被報告稱為RedGolf的黑客組織與其它安全公司追蹤的APT41和BARIUM組織有如此多的重疊之處,以至於人們認為它們要麼是同一個組織,要麼非常密切相關。
總部位於馬薩諸塞州的Insikt說,根據之前關於APT41和BARIUM活動的報告以及對被攻擊目標的監控,已經確定了過去兩年中RedGolf極有可能在多個活動中使用的域名和基礎設施集群。
康德拉在回覆美聯社問題的電子郵件中說:「我們認為這項活動可能是出於情報目的,而不是經濟利益,因為它與以前報告的網絡間諜活動有重疊。」
中共外交部否認這些指控,稱該公司過去不止一次地製作中共黑客攻擊的「虛假信息」。中共當局向來不承認其支持的任何形式的黑客攻擊,反而稱中國本身就是網絡攻擊的一個主要目標。
2020年美國司法部的一份起訴書中牽涉到APT41,該起訴書指控中共黑客針對美國和國外一百多家公司和機構進行攻擊,包括社交媒體和視頻遊戲公司、大學和電信供應商。
Insikt在其分析中說,它發現了RedGolf在廣泛的國家和行業「仍然高度活躍」的證據,「目標是航空、汽車、教育、政府、媒體、信息技術和宗教組織」。
Insikt沒有指明RedGolf的具體受害者,但表示它能夠追蹤針對不同部門的漏洞掃描和利用嘗試,其中,APT41還使用了一個版本的KEYPLUG後門惡意軟件。
Insikt說,除了KEYPLUG之外,它還發現了RedGolf使用的其它幾個惡意工具,「這些工具都是許多中國國家(中共政府)支持的威脅組織所常用的。」
2022年,網絡安全公司Mandiant報告說,APT41至少對美國州政府遭遇的六起網絡被黑事件負責,而且,同樣使用了KEYPLUG。
據現在屬於谷歌的Mandiant公司稱,在該案例中,APT41利用了18個州用於動物健康管理的現成商業網絡應用程序中一個先前未知漏洞。該公司沒有指明哪些州的系統被入侵。
Mandiant稱,APT41是「一個多產的網絡威脅集團,除了進行中國國家(中共政府)支持的間諜活動外,還進行可能不受國家(政府)控制的經濟活動」。
網絡情報公司使用不同的跟蹤方法,並經常以不同的方式命名他們所識別的威脅。但康德拉說,APT41、BARIUM和RedGolf「可能是同一組威脅參與者或團體」,因為它們的在線基礎設施、戰術、技術和程序有相似之處。
「RedGolf是一個特別多產的中國國家(中共政府)支持的威脅參與者團體,可能已經在全球範圍內針對廣泛的行業活動多年。」他說,「該集團已顯示出迅速將新報告的漏洞武器化的能力,並有開發和使用大量定製惡意軟件系列的歷史。」
Insikt的結論是,RedGolf和類似團體「極有可能繼續」通過某些類型的命令使用KEYPLUG惡意軟件和控制服務器,並建議客戶確保一旦檢測到它們,立即將其阻止。