html
- 中国国家支持的行为者部署Brickworm恶意软件,以渗透全球政府和IT网络
- 恶意软件针对VMware vSphere和Windows,能够实现持久性、文件操作和Active Directory的妥协
- CISA警告长期间谍活动和破坏风险;中国否认指控,称美国为“网络霸凌者”
中国国家支持的威胁行为者一直在针对全球政府组织使用Brickworm 恶意软件,维持访问、窃取文件和窃听。
这份报告是美国网络安全和基础设施安全局(CISA)、国家安全局(NSA)以及加拿大网络安全中心联合发布的。报告概述了恶意软件的操作方式,基于对从受害者网络获得的八个样本的分析。
报告中提到,中华人民共和国黑客正在针对“政府和信息技术”组织,但没有详细说明受害者是谁以及他们的位置。同时,Crowdstrike表示观察到该恶意软件被用于针对亚太地区的一个政府组织。
文件操作
为了突破目标网络,威胁行为者通常会针对VMware vSphere和Windows系统。
“在CISA进行事件响应的受害者组织中,受中国政府支持的网络行为者在2024年4月获得了该组织内部网络的长期访问权限,并把BRICKSTORM恶意软件上传到了内部的VMware vCenter服务器,”CISA指出。它还提到,罪犯还针对Active Directory进行了攻击:
“他们还获得了两个域控制器和一个 Active Directory Federation Services (ADFS) 服务器的访问权限。他们成功地入侵了 ADFS 服务器并导出了加密密钥。”
除了能够保持隐蔽的访问,Brickwork 还允许他们访问和操控设备上的所有文件。在某些情况下,他们能够横向移动到网络中的其他设备,攻陷更多设备。
CISA 代理主任 Madhu Gottumukkala 表示,这份报告“强调了中华人民共和国所带来的严重威胁,这些威胁造成了对美国、我们的盟友以及我们所依赖的关键基础设施的持续网络安全风险和经济损失。”
“这些国家支持的行为体不仅仅是在渗透网络——他们还在潜伏其中,以便实现长期访问、破坏和潜在的破坏活动,”他说。
多年来,中国被指责对西方国家进行了无数引人注目的网络攻击。他们被指控攻击电信提供商、关键基础设施和政府机构——对网络间谍和潜在破坏活动感兴趣。在某些情况下,这些攻击早在多年前就已计划和实施,是未来可能针对台湾的战争努力的一部分。
然而,该国代表始终强烈否认所有指控,反而将美国描述为世界上最大的“网络霸凌者”。
热门跟贴