Sophos表示,近幾年,網路安全設備自身的漏洞常常成為駭客入侵的突破口。僅過去一年,就有Ivanti、Fortinet、思科(Cisco)和Palo Alto等多家公司產品的漏洞被駭客利用,引發了大量的惡意攻擊。
Sophos的資訊安全長麥克凱查(Ross McKerchar)表示,「這已經成為半公開的祕密。人們知道這種事情在發生,但大家都保持沉默」,「我們選擇採取不同的方法,直接面對這個問題,並在戰場上與對手對決」。
據Sophos的報告,該公司與中共駭客的交鋒始於2018年,當時Sophos位於印度子公司辦公室的一台電腦被發現植入了名為「CloudSnooper」的惡意軟體。初次入侵似乎在蒐集Sophos產品的資訊,以便後續攻擊Sophos的客戶。
2020年,Sophos發現駭客已感染全球數萬台防火牆設備,試圖安裝名為Asnarök的木馬病毒,並利用這些被感染設備作為進一步入侵行動的跳板。
「四川無聲信息公司」浮出檯面
Sophos的威脅情報與事件應對團隊X-Ops隨即展開調查,發現在成都註冊的Sophos設備上有駭客測試的初步跡象,並透過用戶註冊和下載記錄,追蹤到成都的「四川無聲信息技術有限公司」和成都電子科技大學的一名員工。後者曾在網路上使用「TStark」這個網名,搜尋Sophos防火牆的結構資料。
X-Ops隨後向成都駭客用來測試的Sophos設備植入間諜軟體,即透過Sophos自家產品的少數安裝程式進行「反向監視」。Sophos表示,這個監視行動使公司得以獲取駭客的關鍵程式,阻止第三波入侵。
麥克凱查表示,「第一波攻擊時,我們處於劣勢。第二波則旗鼓相當,第三次攻擊,我們搶先了一步。」
幾年前,「四川無聲信息技術有限公司」就因涉嫌為中共在海外網路散布謠言,而被臉書的母公司Meta發現。
民間駭客研究漏洞 再讓官方使用
Sophos的報告指出,無聲信息公司和成都電子科技大學員工似乎並非直接參與攻擊的中共駭客團隊,而是為中共政府開發並提供入侵技術的研究組織。報告中提到,中共國家駭客組織APT41、APT31和「伏特颱風」(Volt Typhoon)等多次利用四川團隊提供的漏洞技術進行針對性攻擊。
有趣的是,這些人有時還會參加Sophos的漏洞懸賞計畫,報告相同的漏洞以賺取賞金。一名中國研究人員就曾拿到2萬美元賞金。
Sophos報告也警告,這些中共駭客似乎已經逐漸轉向攻擊年久失修、未再更新的舊防火牆設備,而不是尋找新的漏洞。該公司執行長利維(Joe Levy)提醒,「壽命已盡」的設備要盡早更換,以避免這些設備成為未受保護的入侵點。◇