FireEye口中的中國黑客組織攻擊美國國防企業(yè)？

2018年3月16日，外交部發(fā)言人陸慷主持例行記者會。會上有記者問：據(jù)報(bào)道，美國網(wǎng)絡(luò)安全公司 FireEye（火眼）稱中國黑客已掀起針對美國工程公司和軍工企業(yè)的新一輪攻擊，這些公司所從事的業(yè)務(wù)與南海有關(guān)。你能否證實(shí)并評論?

陸慷回應(yīng)稱，中方堅(jiān)決反對并打擊任何形式的網(wǎng)絡(luò)攻擊，不允許任何國家或個人在中國境內(nèi)或利用中國基礎(chǔ)設(shè)施從事網(wǎng)絡(luò)攻擊等非法活動。

FireEye 口中的中國黑客組織

網(wǎng)絡(luò)安全公司 FireEye 發(fā)博文聲稱，中國黑客組織TEMP. Periscope（又名Leviathan）對與南海爭端相關(guān)的美國工程和國防等公司發(fā)起網(wǎng)絡(luò)攻擊，該組織至少自2013年起就開始專注于攻擊多個垂直領(lǐng)域的海事目標(biāo)，包括工程企業(yè)、航運(yùn)、制造業(yè)、國防、政府辦公室以及研究型高校等。除此之外，該組織還將矛頭指向?qū)I(yè)/咨詢服務(wù)、高科技行業(yè)、醫(yī)療保健與媒體/出版等領(lǐng)域。

FireEye 表示其目前確定的受害者主要集中在美國，另外歐洲也有多個機(jī)構(gòu)受影響，甚至中國香港地區(qū)有一個以上的機(jī)構(gòu)也牽涉其中。

黑客組織 TEMP.Periscope 與 TEMP.Jumper 在目標(biāo)定位以及戰(zhàn)術(shù)、技術(shù)與程序（簡稱TTP）方面存在一定交集，而 TEMP.Jumper 與“南海樹（NanHaiShu）”也存在交集。

TEMP.Periscope 所使用的 TTP 與惡意軟件

FireEye在博文中表示，在最近的攻擊活動當(dāng)中，TEMP.Periscope 利用多套疑似各中國網(wǎng)絡(luò)間諜組織所共同使用的大型惡意軟件庫，其中具體包括：

AIRBREAK：一款基于 JavaScript 的后門，亦被稱為“Orz”，能夠從受入侵的合法服務(wù)與網(wǎng)頁當(dāng)中收集配置文件與隱藏字符串，進(jìn)而檢索相關(guān)命令。

BADFLICK：一款后門程序，能夠修改文件系統(tǒng)，生成反向 shell 并修改其命令與控制（簡稱C&C）配置。

PHOTO：一款 DLL 后門，亦被稱為“Derusbi”，能夠獲取目錄、文件與驅(qū)動器列表;創(chuàng)建反向 shell；執(zhí)行屏幕截圖；錄制視頻與音頻;列出、終止及創(chuàng)建進(jìn)程；枚舉、啟動并刪除注冊表項(xiàng)與值;記錄鍵盤輸入結(jié)果，從受保護(hù)的存儲介質(zhì)中返回用戶名及密碼；對文件進(jìn)行重命名、刪除、復(fù)制、移動、讀取以及寫入。

HOMEFRY：一款面向64位 Windows 系統(tǒng)的密碼提取器/破解器，其此前曾被連同 AIRBREAK 以及 BADFLICK 后門一起注入目標(biāo)系統(tǒng)。某些字符串會使用 XOR x56 進(jìn)行模糊處理。該惡意軟件可在命令行當(dāng)中接受兩條參數(shù)：一條用于為每個登錄會話顯示明文憑證，另一條用于為每個登錄會話顯示明文憑證、NTLM 哈希以及惡意軟件版本。

LUNCHMONEY：一款能夠?qū)⑽募B漏至 Dropbox 的上傳器。

MURKYTOP：一款命令行偵察工具，可用于以不同用戶身份實(shí)現(xiàn)文件執(zhí)行、本地移動以及刪除。此外，它還能夠調(diào)度遠(yuǎn)程 AT 作業(yè)、在連接的網(wǎng)絡(luò)上進(jìn)行主機(jī)發(fā)現(xiàn)、掃描已接入主機(jī)上的開放網(wǎng)絡(luò)端口，進(jìn)而檢索該遠(yuǎn)程主機(jī)上的操作系統(tǒng)、用戶、組以及共享信息。

China Chopper：一套簡單的代碼注入 webshell，可在 HTTP POST 命令當(dāng)中執(zhí)行微軟.NET代碼。這意味著該 shell 將能夠上傳與下載文件，使用 Web 服務(wù)器帳戶權(quán)限執(zhí)行應(yīng)用程序，列出目錄內(nèi)容，訪問 Active Directory，訪問數(shù)據(jù)庫以及其它.NET運(yùn)行過程中所允許的其它操作。

TEMP.Periscope 在過去的攻擊活動中曾經(jīng)使用以下工具，且有可能未來再次使用，但目前尚無相關(guān)重用活動跡象：

Beacon：一款適用于 Cobalt Strike 軟件平臺的商用后門，通常用于對網(wǎng)絡(luò)環(huán)境進(jìn)行滲透測試。該惡意軟件支持多種功能，包括注入與執(zhí)行任意代碼、上傳及下載文件以及執(zhí)行shell命令。

BLACKCOFFEE：一款可將自身流量混淆為指向 GitHub 及微軟 Technet 門戶等合法網(wǎng)站的正常流量的后門。APT17（同樣被認(rèn)為是中國的黑客組織） 曾經(jīng)使用過這款工具。

其它已被發(fā)現(xiàn)的 TTP 包括

魚叉式網(wǎng)絡(luò)釣魚，包括使用可能被盜的郵件賬戶。

利用 CVE-2017-11882 漏洞通過誘餌文件投放惡意軟件。

用于惡意軟件簽名的被盜代碼簽名憑證。

使用 bitsadmin.exe下載其它工具。

使用 PowerShell 下載其它工具。

使用 C:WindowsDebug and C:Perflogs 作為暫存目錄。

利用 Hyperhost VPS 與 Proton VPN 退出節(jié)點(diǎn)以訪問面向互聯(lián)網(wǎng)系統(tǒng)上的 webshell。

利用 WindowsManagement Instrumentation（簡稱WMI）實(shí)現(xiàn)持久駐留。

在啟動文件夾中利用 Windows 快捷方式文件（.lnk）調(diào)用Windows Scripting Host（wscript.exe），從而執(zhí)行Jscript 后門以實(shí)現(xiàn)持久駐留。

從合法網(wǎng)站/論壇（例如 Github 與微軟 TechNet 門戶網(wǎng)站）的用戶配置文件處接收命令與控制（C&C）指令。

FireEye 表示，TEMP.Periscope 黑客組織使用各種技術(shù)發(fā)起攻擊，包括魚叉式網(wǎng)絡(luò)釣魚電子郵件，其中的鏈接和附件含有惡意軟件，用以進(jìn)入目標(biāo)計(jì)算機(jī)網(wǎng)絡(luò)。FireEye 稱，該黑客組織似乎是為了獲取對中國政府有利的信息。

FireEye 的高級分析師弗雷德·普蘭表示，該黑客組織專注于與南海有關(guān)的美國航運(yùn)實(shí)體：TEMP. Periscope 追求的信息主要涉及雷達(dá)探測距離或開發(fā)中的系統(tǒng)檢測海上活動的準(zhǔn)確程度等，可能是利用這類數(shù)據(jù)制定戰(zhàn)略決策，他認(rèn)為這屬于國家間諜活動的行徑一致。普蘭還稱，鑒于這些目標(biāo)組織的類型，TEMP. Periscope 很有可能代表政府發(fā)起行動。

又一次捕風(fēng)捉影

FireEye 雖然稱攻擊疑似來自中國，但并未證實(shí)該組織與中國政府有任何關(guān)聯(lián)。FireEye 拒絕透露遭遇攻擊的公司名稱。FireEye 在另一份報(bào)告中稱，美國政府辦公室、媒體、學(xué)術(shù)機(jī)構(gòu)、工程和國防公司遭到攻擊。當(dāng)被問及美國海軍是否在目標(biāo)之列，普蘭拒絕做出評論。

美國海軍有時(shí)會執(zhí)行所謂的航行自由行動，挑戰(zhàn)中國在南海的活動。外媒報(bào)道稱，中國黑客一直在參與南海有關(guān)的其它攻擊，中國黑客2015年在“南海仲裁案”聽證會上通過惡意軟件攻擊了海牙常設(shè)仲裁法院的網(wǎng)站，使之下線。

2014年，美國以竊取美國公司（包括美國西屋電氣公司和美國鋼鐵公司）商業(yè)機(jī)密之名起訴5名中國軍官。時(shí)任外交部發(fā)言人秦剛就美國司法部宣布起訴5名中國軍官一事表示，美方捏造事實(shí)，以所謂網(wǎng)絡(luò)竊密為由宣布起訴中國軍官，此舉嚴(yán)重違反國際關(guān)系準(zhǔn)則，損害中美合作互信。中方敦促美方立即糾正錯誤、撤銷所謂起訴。中方?jīng)Q定中止中美網(wǎng)絡(luò)工作組活動。

中國外交部一再表示，中美兩國在維護(hù)網(wǎng)絡(luò)安全方面擁有重要共同利益。中方愿與美方繼續(xù)按照雙方2015年達(dá)成的網(wǎng)絡(luò)安全重要共識,利用好兩國間現(xiàn)有的網(wǎng)絡(luò)對話機(jī)制，加強(qiáng)網(wǎng)絡(luò)安全領(lǐng)域的合作。同時(shí),我們希望美方在相互尊重的基礎(chǔ)上同中方相向而行，推進(jìn)相關(guān)領(lǐng)域合作。