FireEye 日前公布最新的網絡安全調查報告,發現中國間諜組織大規模地、有系統攻擊以色列和附近「一帶一路」地區的政府機構和企業,長達兩年之久,甚至試圖假扮成伊朗黑客插贓嫁禍。
FireEye 指出,自 2019 年 1 月開始,與中國有關的黑客間諜組織 UNC215 ,向以色列發動攻擊,以政府機構、 IT 服務商和電訊公司作目標。黑客借漏洞入侵以色列機構的網絡,收集數據和偵察,動機可能出自金融、技術和商業利益。雖然報告未提及中國政府參與其中,但卻表示,目標與中國的利益相符。
該公司在 2019 年初首次偵測到 UNC215 的間諜活動。這黑客組織借助微軟 SharePoint 的漏洞,在目標系統安裝特定惡意軟件 FOCUSFJORD 作台階,盜取大量用戶登入憑證。其後在系統強加 HYPERBRO ,收集畫面截圖、鍵盤記錄等訊息。
在其中一次大規模攻擊, UNC215 同時還向阿聯酋、哈薩克、伊朗等,並企圖誤導調查人員由伊朗發動攻擊。 FireEye 形容,掩飾身份手法並不高明,例如 FOCUSFJORD 設定為波斯語,以及使用伊朗黑客的攻擊工具。
FireEye 的情報反映, UNC215 可能最早在 2014 年開始攻擊,甚至可能與另一中國黑客組織 APT27 有關。
報告指出,這些網絡間諜活動出現在「一帶一路」地區,以及中國對以色列感興趣的技術部門。