注册
登录
据报道,FBI指控中国黑客参与入侵了美国人事管理办公室(简称OPM),并于周一发布了起诉书。美国联邦官员本周在洛杉矶国际机场逮捕中国公民余平安(音译),指控其在OPM入侵事件中曾实施入侵活动。 事件回顾:
FBI为何指控余平安等人?FBI通过搜查令获取了余平安的简历。余平安,1980年12月16日出生,居住在中国上海,特长包括计算机网络安全和计算机编程。 余平安在美国参加会议后就被捕,他被指控曾出售攻击OPM的恶意软件Sakula。 Sakula在当时是一款十分罕见的“隐身”恶意软件。
起诉状称,余平安及同谋攻击了圣地亚哥(A公司)、马萨诸塞州(B公司)、洛杉矶(C公司)和亚利桑那州(D公司)4家公司。他被指控使用罕见的混合恶意软件(主要是Sakula家族的攻击代码),并通过未正确打补丁的浏览器渗透这些公司的服务器。 起诉状指出,余平安及中国同谋可能获取并使用恶意软件工具,其中一些是FBI和信息安全界未确定的罕见恶意软件变种,包括Sakula。余平安等人或与互联网服务提供商和网站创建域名、IP地址和账号基础设施,以对美国和其它地区的计算机网络实施入侵,可能使用了基础设施各种元素和技术(包括水坑式攻击),偷偷安装或设法在美国和其它地区的计算机网络上安装文件和程序,包括但不限于上述公司。 起诉状内容起诉状中控诉余平安等人的行为包括:
2012年2月,这款恶意软件利用IE浏览器 0Day漏洞(CVE-2012-4969)设法感染了公司网站147位访客。
4家公司如何发现被攻击?攻击于2012年8月浮出水面,当时其中一家遭遇入侵的公司在服务器上发现高级恶意软件,并通知了FBI。 FBI分析该恶意软件之后,又查到了第二家被入侵的公司。2012年5月至2013年1月,该恶意软件利用了5个不同的0Day漏洞攻击这家公司的网站。 2013年6月7日,第三家公司也被十分罕见的Sakula变种感染。调查发现,这三起案例使用的恶意软件与同一个控制与命令服务器通信。 2012年12月14日,黑客使用PlugX恶意软件(包含键盘记录组件)感染第四家公司。这款恶意软件之后窃取了大量文件和键盘记录数据,并发送回控制器。 FBI声称掌握了“余平安”的通信FBI声称已经掌握了余平安以网名“GoldSon”与中国同谋者讨论入侵与使用恶意软件事宜的相关通信。FBI声称余平安使用的电子邮箱为[email protected],并称在其中一个Sakula恶意软件样本中发现解密密钥为“Goldsunfucker”。
余平安被控将高级恶意软件提供给中国的犯罪分子,之后犯罪分子劫持了韩国一个由微软运营的合法域名。余平安曾声称同伙使用Sakula可能会殃及自己。 余平安与penelab.com网站的联系如果FBI的指控成立,余平安就是入侵OPM的恶意软件开发人员。起诉书还指出,余平安与同谋者有过交易。2013年3月,余平安通过电子邮件向同谋者1发送了两个恶意软件样本:“adjesus”和“hkdoor”。 FBI还未破译adjesus,但源码记录显示,adjesus曾在渗透测试工具网站——penelab.com——公开销售。 hkdoor的部分代码显示,hkdoor曾在Penelab上被名为“Fangshou”的客户买走径。 FBI获取的通信和开源记录都表明,余平安正是penelab.com的网站运营者。 余平安被关押等待下周的庭审。 我外交部回应央视网消息:外交部发言人华春莹在25日日例行记者会上表示,中方一贯重视保障海外中国公民的合法权益,并为海外中国公民提供必要的领事保护与协助。 问:美国逮捕了一位中国公民,认为其涉嫌提供了用以窃取美国政府雇员数据的恶意软件。你对此有何评论? 答:我注意到有关报道,不掌握你说的具体情况。我愿重申,中国政府坚决反对并依法打击各种形式的非法网络活动。这一立场是一贯的、明确的。 同时,中方一贯重视保障海外中国公民的合法权益,并为海外中国公民提供必要的领事保护与协助。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
