黑基网 首页 资讯 互联网 查看内容

涉网络攻击中国公民在美被FBI批捕,外交部回应

2017-8-27 02:05| 投稿: lofor |来自: 互联网

摘要: 据报道,FBI指控中国黑客参与入侵了美国人事管理办公室(简称OPM),并于周一发布了起诉书。美国联邦官员本周在洛杉矶国际机场逮捕中国公民余平安(音译),指控其在OPM入侵事件中曾实施入侵活动。事件回顾:2015年O ...

据报道,FBI指控中国黑客参与入侵了美国人事管理办公室(简称OPM),并于周一发布了起诉书。美国联邦官员本周在洛杉矶国际机场逮捕中国公民余平安(音译),指控其在OPM入侵事件中曾实施入侵活动。

事件回顾:

2015年OPM遭遇黑客入侵:黑客从OPM中窃取了2156万联邦人员的个人信息,包括560万联邦人员的指纹记录,420万在任和前美国政府雇员的个人资料,而当时时任OPM局长的凯瑟琳·阿奎莱拉因此引咎辞职。

FBI为何指控余平安等人?

FBI通过搜查令获取了余平安的简历。余平安,1980年12月16日出生,居住在中国上海,特长包括计算机网络安全和计算机编程。

余平安在美国参加会议后就被捕,他被指控曾出售攻击OPM的恶意软件Sakula。 Sakula在当时是一款十分罕见的“隐身”恶意软件。

起诉状称,余平安及同谋攻击了圣地亚哥(A公司)、马萨诸塞州(B公司)、洛杉矶(C公司)和亚利桑那州(D公司)4家公司。他被指控使用罕见的混合恶意软件(主要是Sakula家族的攻击代码),并通过未正确打补丁的浏览器渗透这些公司的服务器。

起诉状指出,余平安及中国同谋可能获取并使用恶意软件工具,其中一些是FBI和信息安全界未确定的罕见恶意软件变种,包括Sakula。余平安等人或与互联网服务提供商和网站创建域名、IP地址和账号基础设施,以对美国和其它地区的计算机网络实施入侵,可能使用了基础设施各种元素和技术(包括水坑式攻击),偷偷安装或设法在美国和其它地区的计算机网络上安装文件和程序,包括但不限于上述公司。

起诉状内容

起诉状中控诉余平安等人的行为包括:

  • 2011年4月17日,余平安向同谋者#1称自己掌握着一个Adobe Flash软件漏洞利用。

  • 2011年7月27日,余平安和同谋者#2讨论在某公司安装RAT,同谋者警告余不要引起FBI注意。

  • 2012年8月7日或之前,一名同谋者将恶意软件安装在A公司的计算机网络中。

  • 2012年9月18日或之前,一名同谋者将恶意文件(利用了0Day漏洞CVE-2012-4969的恶意文件)安装在C公司的计算机网络中。

  • 2012年12月12日或之前,一名同谋者将恶意软件安装在C公司的Web服务器上,利用Sakula恶意软件实施水坑式攻击。

  • 2013年1月1日或之前,一名同谋者在C公司的Web服务器上安装恶意文件(利用了0Day漏洞CVE-2012-4792的恶意文件),并将Sakula变种“mediacenter.exe”下载至第三方受害者的计算机上。

  • 2013年6月7日或之前,一名同谋者在B公司的Web服务器上安装了恶意文件,导致Sakula变种“mediacenter.exe”下载到受害者的计算机上。

  • 2013年12月3日或之前,一名同谋者将恶意软件安装到A公司的计算机网络上。

  • 2014年1月17日或之前,一名同谋者将恶意文件(利用了0Day漏洞CVE-2014-0322的恶意文件)安装到IP地址为173.252.252.204的服务器上。这些文件导致Sakula变种“mediacenter.exe”下载到受害者的计算机上。

2012年2月,这款恶意软件利用IE浏览器 0Day漏洞(CVE-2012-4969)设法感染了公司网站147位访客。

4家公司如何发现被攻击?

攻击于2012年8月浮出水面,当时其中一家遭遇入侵的公司在服务器上发现高级恶意软件,并通知了FBI。

FBI分析该恶意软件之后,又查到了第二家被入侵的公司。2012年5月至2013年1月,该恶意软件利用了5个不同的0Day漏洞攻击这家公司的网站。

2013年6月7日,第三家公司也被十分罕见的Sakula变种感染。调查发现,这三起案例使用的恶意软件与同一个控制与命令服务器通信。

2012年12月14日,黑客使用PlugX恶意软件(包含键盘记录组件)感染第四家公司。这款恶意软件之后窃取了大量文件和键盘记录数据,并发送回控制器。

FBI声称掌握了“余平安”的通信

FBI声称已经掌握了余平安以网名“GoldSon”与中国同谋者讨论入侵与使用恶意软件事宜的相关通信。FBI声称余平安使用的电子邮箱为[email protected],并称在其中一个Sakula恶意软件样本中发现解密密钥为“Goldsunfucker”。

余平安被控将高级恶意软件提供给中国的犯罪分子,之后犯罪分子劫持了韩国一个由微软运营的合法域名。余平安曾声称同伙使用Sakula可能会殃及自己。 

余平安与penelab.com网站的联系

如果FBI的指控成立,余平安就是入侵OPM的恶意软件开发人员。起诉书还指出,余平安与同谋者有过交易。2013年3月,余平安通过电子邮件向同谋者1发送了两个恶意软件样本:“adjesus”和“hkdoor”。

FBI还未破译adjesus,但源码记录显示,adjesus曾在渗透测试工具网站——penelab.com——公开销售。

hkdoor的部分代码显示,hkdoor曾在Penelab上被名为“Fangshou”的客户买走径。

FBI获取的通信和开源记录都表明,余平安正是penelab.com的网站运营者。

余平安被关押等待下周的庭审。

我外交部回应

央视网消息:外交部发言人华春莹在25日日例行记者会上表示,中方一贯重视保障海外中国公民的合法权益,并为海外中国公民提供必要的领事保护与协助。

问:美国逮捕了一位中国公民,认为其涉嫌提供了用以窃取美国政府雇员数据的恶意软件。你对此有何评论?

答:我注意到有关报道,不掌握你说的具体情况。我愿重申,中国政府坚决反对并依法打击各种形式的非法网络活动。这一立场是一贯的、明确的。

同时,中方一贯重视保障海外中国公民的合法权益,并为海外中国公民提供必要的领事保护与协助。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部