FX168财经报社(北美)讯 美国一家私人网络安全公司周四(3月30日)在一份新报告中表示,一个可能由国家支持的中国黑客组织仍然“高度活跃”,并专注于可能对中国政府和安全部门具有战略利益的广泛目标。该组织此前曾与对美国州政府电脑的攻击事件有关。
马萨诸塞州网络安全公司Recorded Future的威胁研究部门Insikt group的战略和持续威胁主管Jon Condra说,报告称这个黑客组织为RedGolf,它与其他安全公司以APT41和BARIUM为名追踪的组织有密切的重叠,人们认为它们要么是相同的,要么关系非常密切。
根据之前APT41和BARIUM活动的报告,并监测了被攻击的目标后,Insikt Group表示,在过去两年里,它已经确定了一个域名和基础设施集群,“极有可能被RedGolf在多个活动中使用”。
Condra在一封回复美联社问题的电子邮件中说:“我们认为,这次活动可能是出于情报目的,而不是经济利益,因为它与之前报道的网络间谍活动有重叠。”
中国外交部否认了这些指控,称:“这家公司过去不止一次就所谓的‘中国黑客攻击’提供虚假信息。他们的相关行为是毫无根据的指责,牵强附会,缺乏专业精神。”中国政府一直否认任何形式的国家支持的黑客攻击,而是说中国本身是网络攻击的主要目标。
APT41与美国司法部2020年的一份起诉书有关,该起诉书指控中国黑客攻击了美国和国外的100多家公司和机构,包括社交媒体和视频游戏公司、大学和电信提供商。
Insikt Group在分析中表示,有证据表明,RedGolf在许多国家和行业“仍然非常活跃”,“目标是航空、汽车、教育、政府、媒体、信息技术和宗教组织。”
Insikt集团没有确定RedGolf的具体受害者,但表示,它能够跟踪针对不同行业的扫描和利用企图,使用APT41也使用的KEYPLUG后门恶意软件版本。Insikt表示,除了KEYPLUG,它还发现了RedGolf使用的其他几个恶意工具,“所有这些工具都被许多中国政府支持的威胁组织普遍使用。”
2022年网络安全公司Mandiant报告称,APT41也使用KEYPLUG攻击了至少6个美国州政府的网络。据Mandiant称,在那起事件中APT41利用了18个州用于动物健康管理的现成商业web应用程序中的一个以前未知的漏洞。Mandiant现在属于谷歌,没有确定哪些州的系统受到了损害。
Mandiant称APT41是“一个活跃的网络威胁组织,除了从事可能超出国家控制的出于经济动机的活动外,还从事中国政府支持的间谍活动。”
网络情报公司使用不同的跟踪方法,并经常以不同的方式命名他们识别的威胁,但Condra表示,APT41、bararium和RedGolf“可能指的是同一组威胁行为者或组织”,因为他们的在线基础设施、战术、技术和程序相似。
他说:“RedGolf是一个特别多产的由中国政府支持的威胁行为者组织,可能已经活跃多年,针对全球范围内的多个行业。该组织已经显示出将新报告的漏洞迅速武器化的能力,并且曾经开发和使用大量定制恶意软件家族。”
Insikt Group得出结论,RedGolf和类似组织通过某些类型的命令和控制服务器使用KEYPLUG恶意软件“极有可能继续”,并建议客户确保在检测到这些恶意软件后立即阻止它们。