APT 27是一个活跃中的黑客组织,其网络攻击行动最早可追溯至2010年[1]。该组织被西方怀疑是中国用来针对西方政府发动攻击[2]的中国黑客组织[3][4][5]、受到中国官方支持[6]。该组织曾对全球数百个组织,包括美国国防承包商、金融服务公司、欧洲无人机制造商以及一家法国能源管理公司在美国的子公司发动过攻击,并拥有如LuckyMouse[7]Iron TigerEmissaryPanda[8]Threat Group-3390[9]TG-3390[4]Bronze Union[4]等多个别名[9]

自研工具

APT 27开发有自己的专有远程访问工具系列,例如HyperBro和SysUpdate,该系列工具自2016年以来一直被使用[5]。APT 27还开发有定制黑客工具SysUpdate,EnigmaSoft表示APT 27曾使用该工具攻击过土耳其蒙古[10]

入侵记录

持续性网络间谍活动

2018年6月13日,卡巴斯基实验室的研究人员发表文章表示,其在同年3月份发现了一起针对某中亚国家数据中心的持续性网络间谍活动,目标是在该国的政府网站上实施水坑攻击,以获取广泛的政府资源,其攻击行动最早可追溯至2017年11月中旬,并认为该行动出自APT 27之手[8][9]

中东国家政府

2019年4月,派拓网络Unit 42发现APT 27利用了微软SharePoint的漏洞CVE-2019-0604在Sharepoint服务器上安装China Chopper webshel​​l来攻击中东两个政府组织[11][12]

攻击MySQL服务器

据SecNews于2019年5月30日的报道,其以检测到APT 27以大型企业网络为目标,对MySQL服务器进行了15,000次攻击,攻击目标为德国美国法国中国波兰俄罗斯等国企业,并表示APT 27使用恶意软件NewCore RAT攻击政府网站和数据中心,并勒索其支付赎金[3]

德国制药和科技公司

2022年1月26日,德国联邦宪法保卫局表示黑客组织APT 27已对德国的制药和科技公司发动持续攻击,而该局此前于2019年的一份报告中表示APT 27另有别名为熊猫使者,暗示APT 27含有中国背景,并表示该组织对外国使馆和关键领域构成威胁[2][13]

台湾特别网络行动

2022年8月3日,一个自称是APT 27组织的YouTube频道上传声明视频,表示受佩洛西访台影响,将对台湾发动特别网络行动,攻击目标为台湾的政府网站与基础设施[14][1]。此后,在2022年环台军事行动期间,台湾的许多政府网站、公共设施遭受入侵,APT 27宣布该入侵行为出自其手[15][1]。8月7日,APT 27再次在YouTube频道上传视频表示其行动暂时结束,并表示其攻击了台湾内政部警政署交通部公路总局台湾电力台湾总统府、金智洋科技公司旗下物联网及其路由器、财金资讯公司、神脑国际公司等目标,并宣布其手下掌握有超过20万台的台湾联网设备[16]

另一方面,台电表示,在3日当天受到黑客攻击次数高达490万次,超过去两个月的总和[6]。8月5日,警政署就警用移动电脑勤务系统服务中断一事表示,原因是机房网络连线设备故障,初步排除遭黑客攻击,并表示民众个人资料未遭外泄[17]。7日,台湾行政院数位政委唐凤表示,近期政府机关与关键基础设施网站遭到DDoS攻击,但因现采用的Web3为主的分散式架构,可完全排除阻断性攻击、政府资料未外泄,并表示数位部网站“一秒钟都没卡住过”[18]

埃森哲网络威胁情报专家王艾瑞(Eryk Waligora)表示,到目前为止的攻击似乎是“戏剧性大于威胁性”[6]

参见

参考来源

  1. ^ 1.0 1.1 1.2 台灣多個政府機構網站遭入侵 黑客組織APT 27承認犯案. 星岛日报. 2022-08-05 [2022-08-07]. (原始内容存档于2022-08-07) (中文). 
  2. ^ 2.0 2.1 “熊猫”原来是黑客 德国公司受威胁. 自由亚洲电台. 2022-01-27 [2022-08-07]. (原始内容存档于2022-05-24) (中文(中国大陆)). 
  3. ^ 3.0 3.1 Absent Mia. Chinese team of hackers APT-27 launched 15.000 attacks on MySQL Servers. SecNews. 2019-05-30 [2022-08-07]. 
  4. ^ 4.0 4.1 4.2 Nikolaos Pantazopoulos、Thomas Henry. Emissary Panda – A potential new malicious tool Introduction. NCC Group. 2018-05-18 [2022-08-07]. (原始内容存档于2019-06-12). 
  5. ^ 5.0 5.1 APT27. EnigmaSoft. [2022-08-07]. (原始内容存档于2022-08-07) (中文(中国大陆)). 
  6. ^ 6.0 6.1 6.2 台政府官网猛烈遭袭 黑客称“特别行动”. 德国之声. 2022-08-04 [2022-08-07]. (原始内容存档于2022-08-04) (中文(中国大陆)). 
  7. ^ The complexities of public attribution. www.kaspersky.com. 2019-04-12 [2022-08-07]. (原始内容存档于2021-05-09) (美国英语). 
  8. ^ 8.0 8.1 LuckyMouse hits national data center to organize country-level waterholing campaign. securelist.com. [2022-08-07]. (原始内容存档于2022-04-21). 
  9. ^ 9.0 9.1 9.2 卡巴斯基:APT27黑客组织入侵某中亚国家数据中心. 安全内参. 2018-06-18 [2022-08-07]. (原始内容存档于2023-06-25). 
  10. ^ GoldSparrow. SysUpdate. EnigmaSoft. 2019-06-04 [2022-08-07]. (原始内容存档于2021-05-09) (美国英语). 
  11. ^ Falcone, Robert. Emissary Panda Attacks Middle East Government SharePoint Servers. Unit 42. 2019-05-28 [2022-08-07]. (原始内容存档于2022-02-18) (美国英语). 
  12. ^ Emissary Panda(ATP27)攻击:针对中东政府的Sharepoint服务器. 安联智库. 2019-06-04 [2022-08-07]. (原始内容存档于2022-08-07). 
  13. ^ BfV指控APT 27黑客组织针对德国的制药和科技公司. VOI - Waktunya Merevolusi Pemberitaan. [2022-08-07]. (原始内容存档于2022-08-07) (中文). 
  14. ^ APT27 attack. APT27. 2022-07-03 [2022-08-07]. (原始内容存档于2022-08-06). 
  15. ^ 27 Attack. Good noon to citizens of the world, this is the result of our attack, we will soon announce the 0day of some Taiwanese devices and their government leaked data, and we now have more than 200,000 Taiwanese connected devices in our hands, good luck!. 2022-08-07 [2022-08-07]. (原始内容存档于2022-08-07). 
  16. ^ apt27attack. 2022-08-07 [2022-08-07]. (原始内容存档于2022-08-07). 
  17. ^ 警政署公共关系室. 警用行動電腦(M-Police)等相關勤務系統服務中斷情形 警政署聲明資料. 内政部警政署. 2022-08-05 [2022-08-07]. (原始内容存档于2022-08-07). 
  18. ^ 记者李欣芳、徐子苓. 唐鳳提新招 破解中國網攻. 自由时报电子报. 2022-08-07 [2022-08-07]. (原始内容存档于2022-08-07) (中文(台湾)). 

外部链接