以我国为基地、向国外发动网络攻击的团伙成员被判刑。他们使用或企图使用的恶意软件PlugX,正是黑客组织 “UNC3886” 对我国发动攻击、入侵部分关键基础设施所使用的工具之一。
三名中国籍男子因在我国组成有组织犯罪团伙,对国外网站发动恶意网络攻击,以获取巨额加密货币等非法经济利益,星期三(11月5日)被定罪。
根据案情,警方在2024年9月逮捕他们时,查获大量具备渗透、提升系统权限及数据外传功能的远程木马和漏洞利用程序。
其中,被告刘宇棋(32岁)的电脑中发现14个与PlugX有关的木马。被告严培建(38岁)的设备中发现一份包含可连接至PlugX服务器凭证的IP地址文件。被告黄勤政(37岁)的设备中则检获三种有效载荷编写器,其中一款可用于生成与PlugX相关的载荷。
PlugX是一种复杂的远程木马,被一些与中国有关联的高级持续性威胁组织(Advanced Persistent Threats,简称APT)或黑客团体广泛采用。所谓APT,是一种持久、隐蔽且目标明确的网络攻击形式,通常由国家级黑客组织或高水平的黑客团伙发动,旨在获取敏感信息、情报或控制目标系统。
PlugX的基本运作与大多数远程木马类似,先通过钓鱼或漏洞取得初始访问并执行载荷长期驻留,随后在需要时与远端服务器连线,窃取资料、提升权限并横向扩散。
不同的是,PlugX采用模块化设计,隐蔽性更高。它像一个可插不同配件的工具箱,攻击者可按需加载窃密、记录键盘、截屏等模块,并以伪装或多种持久化手法藏匿系统深处。它与远端服务器的通信还会加密混淆,难以被侦测。
今年7月,国家安全统筹部长兼内政部长尚穆根透露,一个代号为 “UNC3886” 的黑客组织正对我国发动APT攻击,入侵部分关键基础设施。这是我国首次点名对新加坡发动攻击的黑客组织。
谷歌旗下网络安全机构麦迪安(Mandiant)指出,UNC3886是一个与中国有关的网络间谍组织,主要针对政府、国防、通讯、能源与公用事业等关键基础设施发动攻击。他们使用的一系列黑客工具中,也包括PlugX。
中国驻新加坡大使馆否认UNC3886与中国有关,表示“坚决反对任何针对中国的无端抹黑”。
发现涉及多国政府网站漏洞讨论记录
在本案中,三名中国籍被告均否认与任何APT组织有关,也声称并不了解这些黑客组织。不过,调查显示,他们并非网络安全研究人员或从事网络安全相关工作的人员,因此无法以“研究或测试用途”为由解释所持有的PlugX等恶意软件。
尽管团伙声称只针对海外网站或非法赌博网站,会刻意避开政府系统,但警方在被告严培建的电脑发现涉及五个澳大利亚、阿根廷与越南政府网站漏洞的讨论记录。
此外,警方也在刘宇棋的电脑中发现一封哈萨克斯坦外交部与工业及基础设施发展部官员之间的机密电邮。
