2020年9月22日星期二

对话曝光!中共黑客:你玩“ECS#1”越来越上瘾了

9月16日宣布对隶属于代号APT41的组织的5名中国籍成员以及2名马来西亚籍外应的指控。他们被指控攻击包括美国在内的一百多家公司及实体。

部上周起诉5名中共黑客,曝光这些黑客使用的高级和复杂的攻击技术,如租用国外的c2服务器,进行“链式攻击”,即通过攻击通信商,来攻击其客户;设置假网页,利用安全漏洞等。(Stephen Morton/Bloomberg via Getty Images)

美国司法部9月16日宣布对隶属于代号APT41的中共黑客组织的5名中国籍成员以及2名马来西亚籍外应的指控。他们被指控攻击包括美国在内的一百多家公司及实体。

两名马来西亚人已经被捕,美国司法部向5名中共黑客发布了逮捕令。

从起诉书内容看,两名被起诉的马来西亚商人,单纯以世界各地的游戏公司为黑客目标,以牟利为动机。而5名中共黑客瞄准的对象则要广泛得多,使用的技术也很专业、高级和复杂,如租用国外的c2服务器(Command& Control Server),进行“链式攻击”,即通过攻击通信商,来攻击其客户;设置假网页,利用安全漏洞等。

中共黑客除了牟利外,更多对商业机密和政治信息感兴趣,还开发大数据收集工具,监视异议人士,与中共网攻模式合拍。

美国司法部起诉书显示,中共黑客自曝,因为有保护才能做事。

被起诉的5名中共黑客,分别是成都404公司的蒋立志、钱川、付强,以及有时单干、有时与其合伙的黑客张浩然、谭戴林。

以下根据美国司法部发布的对成都404公司(成都市肆零肆网络科技有限公司)黑客同伙的起诉书,详解中共黑客团伙的作案手段和目标。本文(上篇)通过黑客之间的对话,曝光其“链式攻击”作案手法。

通过入侵电信商进而入侵客户的“链式攻击”

总部设在欧洲的“ECS#1”,是一家受欢迎的电信商(ECS),在欧洲、美国等地开展业务。

从2015年6月开始,成都404公司的黑客同伙,在“ECS#1”的上安装了恶意软件;直到2017年2月之前,黑客同伙一直保持对“ECS#1”电脑的访问权。

黑客同伙劫持了该公司数十台电脑,查看“ECS#1”的源代码和代码签名证书,获取有价值的业务和个人信息,包括“ECS#1”提供的客户账户登录凭证。

黑客同伙随后利用这些信息,入侵“ECS#1”客户的账户,访问他们的网络,这些客户包括“硬件#2”和“医疗供应商#3”。

“硬件制造商#2”是一家位于美国加利福尼亚的硬件制造商,为美国和其它国家提供高端硬件。

在2017年1月12日或前后,黑客同伙登录“硬件制造商#2”的“ECS#1”账户,在该公司的电脑上安装了Winnti/Pasteboy和Barlaiy/PoisonPlug恶意软件。通过这些恶意软件,窃取“硬件制造商#2”的信息,入侵给“硬件制造商#2”造成的损失,包括补救费用,超过100万美元。

“医疗供应商#3”是一家总部设在美国的医疗供应商和研究机构,2018年5月3日或前后,黑客同伙未经授权,获得了分配给“医疗供应商#3”的“ECS#1”账户访问权限。在其受保护电脑上安装了Crosswalk/ProxIP恶意软件。

入侵“ECS#1”客户电脑黑客玩“上瘾”

黑客同伙在入侵“ECS#1”客户账户的过程中,互相之间还交流经验。在2017年11月13日,蒋立志与成都404公司另一名“黑客4”之间有一次聊天。

在这段聊天中,蒋和“黑客4”讨论了如何利用“ECS#1”提供的账户,寻找其它可以入侵的电脑。

蒋告诉“黑客4”,通过“股票网站”搜索上市公司名单,“很容易”找到目标公司。蒋告诉“黑客4”,确定了这些上市公司,找到它们的网站地址,然后“直接搜索”与这些地址相关的“ECS#1”账户。“黑客4”按照蒋的建议,将目标锁定在一家总部位于的连锁酒店。

黑客4:你玩“ECS#1”越来越上瘾了。我第一次开始玩“ECS#1”的时候,我也是这样,哈哈哈哈。感觉有点像玩彩票。

蒋:计划收集两三万台机器,那样的话,会有一些收入。

黑客4:另一家是什么公司?看看能不能让他们付款。

蒋:马来西亚某公司,与汽车有关,不知道详细情况,但是……

黑客4:好了,我先去准备一下,洗个澡再说吧。

蒋:我看到一家(酒店)了。

黑客4:酒店?

蒋:是……

蒋:看起来里面有很多机器……

黑客4:那就好办了。

蒋:我觉得图书馆也会有价值……

黑客4:查找登录记录。

蒋:弄好了吗?

黑客4:弄好了。

黑客4:哈哈,都是有钱人。

蒋:想像一下,群发勒索邮件,哈哈哈哈。

黑客4:里面有用的东西应该不少,只是要想好怎么用。

在某些情况下,蒋和“黑客4”利用其盗取的“ECS#1”客户的账户,入侵“ECS#1”客户公司网络,然后利用这些网络上的电脑进行加密劫持计划。

例如,2017年12月6日,蒋告知“黑客4”:“这里开始挖矿了,一个新加坡的域名,有7000多台机器。上一个高峰期在线机器数量约为1000台,现在计算能力大大降低,我想是很多人都下班了的原因吧。我们应该多弄些域名来增加计算能力。看看如果我们的机器总数达到1万台左右,效果如何。”

为了确定更多的目标,蒋建议“黑客4”说:“法国和意大利也不错,有很多知名企业,而且大多不是搞IT的……。搜索法国和意大利的知名企业,照做就可以了。……唯一的就是时差有点麻烦。晚上上‘ECS#1’,正好是他们的工作时间。”

试图控制“域控制器”服务器

黑客同伙有时会努力取得“域控制器”(domain controllers)服务器的控制权,许多公司网络用这些服务器,来控制安全认证请求和其它要求。有了这种访问权限,就可以方便地访问更多公司里面的电脑。

例如,如下所示,2017年11月29日,蒋和“黑客4”讨论了通过窃取密码等方式,入侵一家位于瑞典的跨国零售商“域控制器”的努力。

蒋:(跨国零售商)那个,你拿到了域控制器的密码?

“黑客4”:你那边不是有域控制器的密码吗?

“黑客4”:我没有弄到密码。

“黑客4”:这个域控制器的密码,在过去的几天里,真TM的很难搞到。

蒋:哦,是的,但我也没有弄到域名密码……

“黑客4”:需要纯文本密码,对吧?

“黑客4”:我一会儿就去看看。

蒋:是的,因为他们需要域控制器的账户,来部署采矿方案……

下篇继续介绍遭受中共黑客袭击的全球公司和实体,从各行业大公司到多国大学和,中共黑客的黑手触及范围之广,令人震惊。

安卓翻墙APPWindows翻墙:ChromeGo
AD:搬瓦工官方翻墙服务Just My Socks,不怕被墙

来源:大纪元记者宋唐报道

没有评论:

发表评论