Remove ads

APT 27是一个活跃中的黑客组织,其网络攻击行动最早可追溯至2010年[1]。该组织被西方怀疑是中国用来针对西方政府发动攻击[2]的中国黑客组织[3][4][5]、受到中国官方支持[6]。该组织曾对全球数百个组织,包括美国国防承包商、金融服务公司、欧洲无人机制造商以及一家法国能源管理公司在美国的子公司发动过攻击,并拥有如LuckyMouse[7]Iron TigerEmissaryPanda[8]Threat Group-3390[9]TG-3390[4]Bronze Union[4]等多个别名[9]

自研工具

APT 27开发有自己的专有远程访问工具系列,例如HyperBro和SysUpdate,该系列工具自2016年以来一直被使用[5]。APT 27还开发有定制黑客工具SysUpdate,EnigmaSoft表示APT 27曾使用该工具攻击过土耳其蒙古[10]

入侵记录

持续性网络间谍活动

2018年6月13日,卡巴斯基实验室的研究人员发表文章表示,其在同年3月份发现了一起针对某中亚国家数据中心的持续性网络间谍活动,目标是在该国的政府网站上实施水坑攻击,以获取广泛的政府资源,其攻击行动最早可追溯至2017年11月中旬,并认为该行动出自APT 27之手[8][9]

中东国家政府

2019年4月,派拓网络Unit 42发现APT 27利用了微软SharePoint的漏洞CVE-2019-0604在Sharepoint服务器上安装China Chopper webshel​​l来攻击中东两个政府组织[11][12]

攻击MySQL服务器

据SecNews于2019年5月30日的报道,其以检测到APT 27以大型企业网络为目标,对MySQL服务器进行了15,000次攻击,攻击目标为德国美国法国中国波兰俄罗斯等国企业,并表示APT 27使用恶意软件NewCore RAT攻击政府网站和数据中心,并勒索其支付赎金[3]

德国制药和科技公司

2022年1月26日,德国联邦宪法保卫局表示黑客组织APT 27已对德国的制药和科技公司发动持续攻击,而该局此前于2019年的一份报告中表示APT 27另有别名为熊猫使者,暗示APT 27含有中国背景,并表示该组织对外国使馆和关键领域构成威胁[2][13]

台湾特别网络行动

2022年8月3日,一个自称是APT 27组织的YouTube频道上传声明视频,表示受佩洛西访台影响,将对台湾发动特别网络行动,攻击目标为台湾的政府网站与基础设施[14][1]。此后,在2022年环台军事行动期间,台湾的许多政府网站、公共设施遭受入侵,APT 27宣布该入侵行为出自其手[15][1]。8月7日,APT 27再次在YouTube频道上传视频表示其行动暂时结束,并表示其攻击了台湾内政部警政署交通部公路总局台湾电力台湾总统府、金智洋科技公司旗下物联网及其路由器、财金资讯公司、神脑国际公司等目标,并宣布其手下掌握有超过20万台的台湾联网设备[16]

另一方面,台电表示,在3日当天受到黑客攻击次数高达490万次,超过去两个月的总和[6]。8月5日,警政署就警用移动电脑勤务系统服务中断一事表示,原因是机房网络连线设备故障,初步排除遭黑客攻击,并表示民众个人资料未遭外泄[17]。7日,台湾行政院数字政委唐凤表示,近期政府机关与关键基础设施网站遭到DDoS攻击,但因现采用的Web3为主的分布式架构,可完全排除阻断性攻击、政府资料未外泄,并表示数位部网站“一秒钟都没卡住过”[18]

埃森哲网络威胁情报专家王艾瑞(Eryk Waligora)表示,到目前为止的攻击似乎是“戏剧性大于威胁性”[6]

Remove ads

参见

参考来源

外部链接

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.

Remove ads