根據美國司法部在本(12)月 10 日發布的新聞稿,印第安納州哈蒙德的聯邦法院公開了對中國公民關天烽的起訴書,指控他參與於 2020 年入侵全球防火牆設備的網路攻擊。
美國財政部同一天也發布新聞稿,並引用美國國家情報總監(DNI)在今(2024)年 2 月發佈的《年度威脅評估》(2024 Annual Threat Assessment)強調,包括在中國運作的惡意網路行為者,仍是美國國家安全面臨的最大且最持久的威脅之一。
利用零時差攻擊竊取資訊
關天烽及其同夥任職於「四川無聲信息技術有限公司」,發現並利用英國資安公司 Sophos 銷售的防火牆產品中一個先前未知的漏洞(零時差漏洞)。
零時差漏洞(或稱零日漏洞,Zero-Day Vulnerability)發動攻擊。所謂零時差漏洞是指只有少數人知道(甚至連軟體廠商也不知道),或是就算廣為人知但還未釋出更新修補的漏洞。利用這種漏洞發動的攻擊便稱為零時差攻擊(或稱零日攻擊,Zero-Day Attack)
美國司法部副部長摩納可(Lisa Monaco)表示:「被告及其共謀者利用了數萬台網路安全設備中的漏洞,為竊取全球受害者資訊,設計了惡意軟體,感染這些設備。」
摩納可接著說道:「今天的起訴書,反映了司法部門致力於與政府和全球各地的合作夥伴攜手合作,偵測並追究位於中國或其他地方的惡意網路活動者的責任,這些活動者對全球網路安全構成威脅。」
(圖/X@TheJusticeDept)
逾8萬台防火牆設備被植入惡意軟體 想移除還會被勒索
根據起訴書的指控,2020 年,關天烽及其同夥開發、測試並部署了惡意軟體,針對約 8 萬 1,000 台的 Sophos 防火牆發動零時差攻擊。這 8 萬 1,000 台 Sophos 防火牆遍佈全球,包括位於美國印第安納州北區的受害組織。該漏洞後來被標記為 CVE 2020-12271(Asnarök)。
關天烽及其同夥設計這些惡意軟體用來竊取防火牆中的資訊。為了更好地隱藏其活動,他們註冊並使用了看似由 Sophos 控制的網域名稱,如 sophosfirewallupdate.com。
Sophos 發現這一入侵並在大約兩天內修復了客戶的防火牆,這迫使共謀者修改其惡意軟體。經過修改後,該惡意軟體在受害者嘗試移除惡意軟體時,會植入勒索軟體變種的加密軟體(Ragnarok)。雖然他們的加密沒有成功,但這表明共謀者不顧可能對受害者造成的傷害。
(圖/FBI)
中國民營資安公司——四川無聲
根據法院文件,關天烽為四川無聲工作,這是一家為中國公安部等機構提供服務的中國民營公司。根據四川無聲的網站,該公司開發了一個產品線,可用於掃描和檢測海外網路目標,以獲取有價值的情報資訊。
據四川無聲官網介紹,該公司成立於 2000 年,是一家「致力於網路與資訊安全領域技術研究、產品研發和技術服務的高新技術企業」,還為中國公安部和國家互聯網應急中心(CNCERT)提供技術支持。CNCERT 是協調中國網路安全緊急應對的關鍵團隊。
四川無聲總部位於中國四川省成都市高新區,在北京、重慶、貴陽、雲南、西藏、西北、江西等地設有分支機構。員工有兩百餘人,其中 75% 為技術型人員。
網頁介紹中還提到「由業內頂尖攻防人員組成的雙螺旋研究院,在中國網路安全比賽中多次取得優異成績,尤其是在公安部『護網 -2018』關鍵信息基礎設施網絡攻防實戰演習中,榮獲『最佳攻擊隊伍』稱號」。
Sophos 在 10 月發佈了一系列文章,記錄了其名為「環太平洋」的獨立長期調查。Sophos 詳細描述了中國的 APT(進階持續性威脅,advanced persistent threat) 駭客組織(包含 Volt Typhoon、APT31 和 APT41/Winnti)在 5 年多的時間裡針對其網路設備進行攻擊,並形容這些攻擊者「對設備韌體內部架構的了解異常深入」。「環太平洋」報告中描述的攻擊之一涉及 CVE-2020-12271 漏洞。
(圖/ Office of Public Affairs, US Department of Justice)
相關報導:中國國安部駭客組織「APT31」遭英美點名並加以制裁
私人駭客承包商竊取情報賣給中國政府
《大紀元》在本月 11 日的報導指出四川無聲和之前被曝光的民間網路安全公司四川安洵、成都肆零肆(404)屬於同一個圈子,互相之間彼此認識。
安洵和肆零肆都跟中國政府和警方關係密切,是中國政府的私人承包商。成都肆零肆公司的五名駭客員工在 2020 年被美國司法部起訴。
報導還提到,過去二十年來,中國國家安全部門對海外情報的需求猛增,催生了由這些私人僱傭駭客公司組成的龐大網絡,並已滲透到中國境外的數百個系統。
這些私人駭客承包商竊取他國的資料,然後出售給中國當局。也有的競標中國當局竊取行動的計劃,以獲得政府資金的資助。
(圖/FBI)
延伸閱讀:安洵洩漏文件 掀出中國招攬駭客內幕
FBI徵求中國駭客攻擊資訊 美國務院最高懸賞1千萬美元
在 Sophos 10 月發佈公告後不久,美國聯邦調查局(FBI)開始募集針對入侵 Sophos 邊緣裝置(edge device,向企業或服務提供商核心網路提供入口點的裝置)的資訊。
FBI 目前仍繼續徵求有關中國駭客攻擊邊緣裝置和網路安全設備的資訊。
美國國務院 12 月 10 日宣佈,透過正義獎勵計畫(RFJ),懸賞 1,000 萬美元(約新台幣 3.2 億元)的獎金,給指認或找到關天烽或任何在外國政府指示或控制下對美國關鍵基礎設施進行違反《電腦詐欺及濫用防制法》(Computer Fraud and Abuse Act,CFAA)的某些惡意網路活動的人。
美國財政部外國資產控制辦公室(OFAC)同日也對四川無聲和關天烽實施了制裁。
(圖/Rewards for Justice)
FBI 將繼續調查四川無聲的駭客活動和對各種邊緣裝置的入侵。
參考新聞連結:
2024/12/10 DOJ China-Based Hacker Charged for Conspiring to Develop and Deploy Malware That Exploited Tens of Thousands of Firewalls Worldwide
2024/12/10 USDT Treasury Sanctions Cybersecurity Company Involved in Compromise of Firewall Products and Attempted Ransomware Attacks
2024/12/10 Rewards for Justice Foreign Malicious Cyber Activity Against U.S. Critical Infrastructure
2024/12/11 大紀元 美國起訴和制裁中國網安公司和一名黑客
