国际

当前位置/ 首页/ 国际/ 正文

暗黑酒店黑客利用VPN零日攻击中国政府机构

网络战争与网络安全的未来

今天的安全威胁的范围和严重性已经扩大。 如果信息安全得不到妥善处理,现在可能有数百万甚至数十亿美元的风险。

多读书

外国资助的黑客已经针对中国政府机构及其雇员发起了大规模黑客行动。

袭击始于上个月,即3月,据信与当前爆发有关。

检测到入侵的中国安全公司奇虎360称,黑客在SangforS SLVPN服务器上使用了一个零天漏洞,用于提供对企业和政府网络的远程访问。

奇虎说,它发现了200多个VPN服务器,在这次活动中被黑客攻击。 安全公司表示,这些服务器中有174台位于北京和上海的政府机构网络上,还有在国外运作的中国外交使团网络,例如:

在今天发表的一份报告中,奇虎研究人员说,整个攻击链都是复杂和非常聪明的。 黑客使用零天来获得对SangforV PN服务器的控制,在那里他们用一个诱杀版本替换了一个名为SangforUD.exe的文件。

此文件是SangforV PN桌面应用程序的更新,员工安装在他们的计算机上,以连接到SangforV PN服务器(以及固有的工作网络)。

奇虎研究人员说,当工人连接到被黑客攻击的SangforV PN服务器时,他们得到了桌面客户端的自动更新,但收到了SangforUD.exe文件的诱杀装置,该文件后来在他们的设备上安装了后门木马。

这家中国安全公司表示,它追踪到了一个名为Dark Hotel的黑客组织。 据信,该团体在朝鲜半岛以外开展活动,但目前尚不清楚这些团体是否驻扎在朝鲜或韩国。

该集团自2007年以来一直在运作,被认为是当今最先进的国家资助的黑客行动之一。

在上个月发布的一份报告中,谷歌表示,去年,在2019年,Dark Hotel使用了五个零天漏洞,比任何其他国家黑客操作都要多。

尽管只有4月,SangforV PN零天是2020年部署的第三家零天黑暗酒店。

今年早些时候,人们还看到,该集团使用Fire fox和InternetExplorer浏览器的零日攻击中国和日本的政府实体。

奇虎研究人员说,最近对中国政府机构的袭击可能与目前的爆发有关。 这家中国安全公司表示,它相信黑暗酒店正在试图了解中国政府是如何处理疫情的。

对中国政府实体的攻击似乎符合一种模式。 两周前,路透社报道了对世界卫生组织的黑暗酒店袭击,该组织是协调全球应对当前COVID-19大流行的国际机构。

奇虎说,它在4月3日上周五向桑戈报告了零天的脆弱性。

当ZDNet今天早些时候发布声明时,这家总部位于深圳的供应商不想对攻击、目标或黑客发表评论,而是将我们重定向到当天早些时候发布的We Chat帖子。

在我们聊天上,供应商说,只有运行M6.3R1和M6.1固件版本的SangforV PN服务器是脆弱的,并且已经被确认使用黑暗酒店使用的零使用的零天

桑福尔说,补丁将在今天和明天-今天为其当前版本的SSLVPN服务器,明天为旧版本。

该公司还计划发布一个脚本,以检测黑客是否破坏了VPN服务器,以及第二个删除由Dark Hotel部署的文件的工具。

Sangfor客户可以在公司的We Chat Post及其SRC-2020-281安全咨询(非公开)中找到更多细节。