12月29日,美國網路安全公司發布報告說,一家可能位於中國境內的網路間諜組織在監控東亞、南亞國家的非政府組織和執法組織,並疑似獲得中共政府的贊助。
在安全工作反威脅機構(CTU)發布的報告中說,一個名為「銅主席」的網路間諜組織使用駭客工具瞄準非政府組織(NGO)。CTU研究者觀察到,「銅主席」從2018年就開始活動了。但是蛛絲馬跡顯示,它可能早在2014年就開始從事網路入侵。
此外,CTU研究者還觀察到,「銅主席」瞄準中國毗鄰國家,包括蒙古和印度的政治及執法組織。「銅主席」的釣魚誘餌暗示它們對東亞、南亞和東南亞的國家安全組織、人道主義組織和執法組織感興趣。
CTU研究者認為,「銅主席」很可能位於中國境內,依據包括:「銅主席」瞄準的非政府組織從事跟中國相關的研究、「銅主席」的基礎設施跟中國境內實體有關係、「銅主席」基礎設施的某個部分跟中國境內互聯網服務提供商有關係、「銅主席」使用的PlugX等工具歷史上曾經被中國境內的其他駭客組織使用、「銅主席」似乎得到中共政府的贊助,至少是容忍。「銅主席」長期瞄準NGO和政治組織的特徵跟愛國駭客組織和犯罪駭客組織不一致。
「銅主席」使用了一系列不同的遠程入侵工具。CTU研究者發現了一些此前沒有見過的工具,暗示「銅主席」可能有能力自己開發惡意軟體。
「銅主席」使用的工具包括Cobalt Strike,PlugX,ORat和RCSession。在單次入侵行動中同時使用這麼多工具暗示,這個駭客組織包含使用不同戰術、扮演不同角色、使用不同工具的駭客。
在入侵一個網路之後,「銅主席」的駭客會提升自己的權限,在系統內安裝惡意軟件。駭客們採取積極措施最大限度的減少系統對其活動的偵測,以利於他們長期潛伏。
CTU的網路情報總監麥克樂藍(Mike McLellan)告訴天空新聞,「銅主席」瞄準NGO的原因可能跟香港抗議和維吾爾少數民族有關。
「我認為中共政府將試圖收集那些事件的訊息。它想要了解反對派怎麼想,地區夥伴可能怎麼想。他們的一個辦法就是走出去,試圖通過網路攻擊等方式收集訊息。我認為,很可能現實世界發生的種種事件都跟我們在這裡看到的(駭客)行動有關係。」◇