美国政府旗下多家国防承包商发现,公司安全网络遭2组黑客组织入侵,初步怀疑是中国政府背后指挥,且同步锁定美欧政府关联企业和金融业者。长期与美国国防合作的火眼安全公司(Fire Eyes)称,调查尚处于初期阶段,但已提供入侵者入侵敏感安全信息的证据。
在2组黑客组织中,火眼怀疑至少有1组是代表中国政府所开展的入侵行动,他们说明黑客犯罪与公司所观察的中国计划相吻合。中国大使馆发言人刘鹏宇表示,中国坚决反对并将打击一切形式的网络攻击行动,称火眼的指控是不负责任和恶意的。
黑客使用Pulse Secure开发的虚拟专用网络软件漏洞,该技术已经证明多年来被用于间谍的立足点。美国国土安全部网络安全和基础设施安全局(CISA)证实,黑客入侵安全网络的行动,已经违反政府机构和关键基础设施实体的规定。
火眼旗下网络安全公司Mandiant在博客帖文中写道,他们已经掌握有限的证据,表明黑客组织是代表中国政府开展业务,但并没有具体指出相关证据的细节。Mandiant高级副总裁兼首席技术官查尔斯·卡玛卡(Charles Carmakal)说道:“我们合理怀疑这些入侵行动,符合中国的数据和情报收集。”
卡玛卡说,黑客组织入侵的行动始于去年6月或更早,公司早些时候首次检测到网络遭到入侵,并在展开调查前就通知美国政府。
Mandiant分析师也提到,Pulse Secure主要开发VPN软件,而他们至少与12种不同的恶意软件相关联。黑客组织很可能编写自己的代码,旨在获得对该软件的永久网络访问权。
面对着质疑和批评,拥有Pulse Secure公司Ivanti建议缓解新漏洞,但强调需要到5月才能达到最终修复状态。Ivanti首席安全官菲尔·理查兹(Phil Richards)补充称:“受到新漏洞影响的客户非常有限,我们鼓励客户持续使用安全工具,审查漏洞所造成的任何影响。”
Mandiant在博客中也直接点名其中1组黑客组织为UNC2630,并且表示他们的行动与中国政府所资助的黑客组织APT5相关。Mandiant写道:“有值得信赖的第三方也同样认为,整起入侵事件与APT5有关。他们持续锁定高价值企业的网络,多年来持续进行入侵的尝试。其主要目标聚集在美国、欧洲和亚洲的航太和国防企业。”
Pulse Secure证实Mandiant所言不假,而期间也指出公司已经对产品发布修补措施。
美国国土安全部网络安全和基础设施安全发出警告说:“目前所发现的黑客组织,能够通过在受害者所在地附近使用的设备,像是网络路由器来掩饰其行动。他们多数的目标都在美国,但也有针对欧洲的目标。黑客甚至伪装自身的系统,将系统更名伪装成被黑客入侵的员工。”