Loading
0

FBI逮捕一名中国黑客:称其贩卖恶意软件,入侵美国人事管理办公室

近日,美国FBI逮捕了一名中国公民,FBI宣称他参与的黑客组织曾成功入侵美国人事管理办公室(OPM)。这名黑客名为于平安(Yu Pingan,音译),来自中国上海。这周,于平安参加完美国的会议后,在洛杉矶国际机场被Feds美国联邦政府抓捕。

OPM被渗透事件最早是在2015年发现的,这对于美国政府来说着实十分尴尬。当时攻击者窃取了超过2000万人的文件信息,了解这些人的安全背景——其中包含560万人的指纹信息,还有400万在职及以前政府雇员的个人信息。此次攻击事件让当时的OPM负责人下了台。
FBI指控于平安出售攻击OPM的Sakula恶意软件。这个软件在当时十分罕见,隐蔽性做得非常出色,基本做到了神不知鬼不觉。于平安的诉讼书中提到,他分别入侵了来自马萨诸塞州,亚利桑那州,圣地亚哥,洛杉矶四家美国公司的网站。他被指控使用高级恶意程序(源码来自Sakula的攻击母码),通过那些未及时打补丁的浏览器渗透进了这些公司的服务器。

2012年8月攻击才被发现。当时其中一家被攻击的公司在服务器上发现了一种高级恶意软件,他们马上通知了FBI。经过检查发现,另外一家公司的恶意软件与之存在关联——黑客在该公司的网站上植入恶意软件,并通过那些未及时打补丁的浏览器进行蠕虫传播。
而在2012年2月,这个恶意软件通过IE浏览器上的0day漏洞(CVE-2012-4969),感染访问公司主页的用户,感染人数将近有147人。2012年5月和2013年1月之间,网站之上的恶意软件还利用了5个不同的0day漏洞。直到2013年6月7日,第三家公司的网站又遭遇Sakula软件变种攻击。
在上述三起事件中,恶意软件以相同的C&C信号进行通信。最后,2012年9月14日,最后一家公司也被攻击了,这次使用的是Plugx恶意软件,其中还包含一个键盘记录器,该软件窃取了大量的文件和键盘记录数据,并发送给黑客。
美国政府表示,他们已经掌握了于平安(网名GoldSon)和中国黑客组织在2011年8月以来的关于商量如何利用恶意软件进行网络入侵的联系记录。FBI表示于平安使用的邮箱为goldsun84823714@gmail.com,并且还发现Sakula恶意程序样本之一的解密密钥“Goldsunfucker”,以表明与于平安之间的关联。
于平安还被指控为某个未具名的中国黑客组织提供高级恶意程序,该黑客组织还入侵了微软位于韩国的合法域名。他表示:他的同伙使用Sakula对他自己也没有好处,他果然说对了。如果如联邦政府所说,于平安就是开发恶意软件攻击OPM的人,那可想而知政府机构的防范能力真是不敢恭维。

近段时间,中国黑客似乎持续在国际舞台上活跃。近期越南媒体报道称,越南大型企业组织遭遇黑客攻击,疑似与中国黑客组织1937CN有关——报道认为此次攻击与2016年越南航空遭遇攻击存在关联。8月初,两个利用CVE-2012-0158漏洞的恶意文件提交到Virus Total。顺着这些线索研究人员发现更多C&C恶意域名。其中某些域名如dcsvn.org从15年起就开始活跃了。

【声明】:8090安全小组门户(http://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。