標題:
中國軍方被指與一款新型駭客軟體有關
新聞來源: (須有正確連結)
https://cn.nytimes.com/china/20200508/china-hacking-military-aria/zh-hant/?utm_source=RSS
今年1月3日早上，一封來自印尼駐澳使館的電子郵件發給了澳洲總理史考特·莫里森(Scott Morrison)手下一名負責健康和生態問題的工作人員。郵件附有一份Word文檔，這沒有立刻引起懷疑，因為收件人認識假定的發件人。
附件裡包含了一個名叫Aria-body的隱形網路攻擊工具，這個工具以前從未被查出過，它具有令人擔憂的新功能。使用這個工具遠程控制計算機的駭客能複製、刪除或創建文件，並對計算機上的數據進行大範圍的檢索，而且，這個工具運用了新方法來掩蓋自己的蹤跡，以免被發現。
現在，以色列的一家網路安全公司已確定，Aria-body是一個名為Naikon的駭客團體使用的武器，該團體的蹤跡此前已被追溯到中國軍方。據這個名為檢查點軟體技術有限公司(Check Point Software Technologies)週四發布的一份報告，該工具被用來攻擊的目標遠不止澳洲總理辦公室。
據「檢查點」稱，在此前的幾個月裡，Naikon使用這個工具攻擊了印尼、菲律賓、越南、緬甸和汶萊的政府機構和國有科技公司。「檢查點」說，這些攻擊凸顯出中國對鄰國進行網路間諜活動的廣度和高水平。
「Naikon團體一直在進行一項長期行動，並在行動期間一次又一次地更新其新的網路武器，建立了廣泛的進攻性基礎設施，並努力滲透亞太地區的許多政府，」「檢查點」的網路威脅情報組負責人勞特姆·芬克爾斯坦(Lotem Finkelstein)說。
「檢查點」和其他研究中國網路間諜活動的專家說，這些攻擊之所以如此令人擔憂，是因為Naikon團體的新工具Aria-body的入侵能力。
Aria-body可以滲透任何用來打開嵌入它的文件的計算機，並馬上讓機器服從駭客的指令。這可能包括建立一條祕密的、難以查出的通信線路，讓目標計算機上的數據通過這條線路流向攻擊者使用的伺服器。
這個工具還可以複製目標用戶的打字，這意味著，如果那個澳洲攻擊未被查出的話，這個工具就會讓控制它的人實時看到總理辦公室裡的工作人員在寫什麼。
澳洲政府一直在對中國干預的擔憂進行激烈的內部辯論，但沒有立即回覆有關上述報告的問題。
「我們知道，中國可能是對澳洲進行網路間諜活動的最大來源，其行動規模遠遠超過任何其他地方，」澳洲戰略政策研究所(Australian Strategic Policy Institute)執行主任彼得·詹寧斯(Peter Jennings)說，他曾任澳洲國防官員。
在這類批評面前，北京近年來一直堅稱，它反對任何形式的網路攻擊，而且中國政府和軍隊不參與竊取商業機密的駭客活動。
中國的網路間諜活動在全球範圍內毫無減弱的跡象，而且隨著中國在貿易、技術，以及最近新型冠狀病毒大流行病方面與澳洲、美國和其他國家的爭端升級，其網路間諜活動可能正在加劇。專家說，中國的目標是竊取外國政府和公司的大量數據。
「工具在設計上可能有所不同，但這些攻擊的目的都是一樣的，」美國前外交官、一本關於中國間諜活動的新書的作者馬修·巴拉茲爾(Matthew Brazil)說，他指的是Aria-body。
據「檢查點」的報告，使用Aria-body的駭客成功地控制了印尼駐澳洲首都坎培拉大使館的一名外交官的計算機。駭客找到了這名外交官沒寫完的一份文件，將其完成後，配上Aria-body工具發給了澳洲總理辦公室的工作人員。
這次攻擊之所以被發現只是因為一個簡單的人為錯誤。
發電子郵件的駭客把郵件發到了一個錯誤地址。「檢查點」報告的作者寫道，總理辦公室的伺服器將郵件退回，並附了一個「收件地址不存在」的解釋，這個傳輸才引起了對原郵件存在可疑之處的懷疑。由此所做的調查揭示了這次未遂攻擊——及其使用的新武器。
美國網路安全公司ThreatConnect此前調查過Naikon。這家公司曾於2015年發布了一份關於Naikon與中國人民解放軍關係的廣泛報告。
據ThreatConnect的報告，這個駭客團體似乎隸屬於中國人民解放軍第二技術偵察局78020部隊，主要駐紮在中國南方城市昆明。據稱，該駭客團體負責中國在東南亞和南中國海的網路行動和技術間諜活動。中國在南中國海與鄰國存在領土爭端。
俄羅斯網路安全公司卡巴斯基實驗室(Kaspersky Lab)的一份報告稱，該駭客團體是亞洲最活躍的「高級持續性威脅」之一。安全專家經常用此說法來描述長期從事入侵活動、有政府背景的駭客。
2015年的報告將Naikon的主要網路武器公之於眾後，這個駭客團體似乎消失了。前外交官巴拉茲爾指出，自那以後，中國重組了自己的網路間諜力量，將一部分活動從中國人民解放軍轉移到了國家安全部，實際上是將駭客的職責按照軍事情報或外交與經濟間諜進行了劃分。
「檢查點」的報告暗示，Naikon可能仍在活動，儘管還不清楚它是否已經從軍事部門剝離出來。
據「檢查點」報告，自2019年初以來，這個駭客團體已加快了擴大其在線基礎設施的努力。它從中國的科技公司阿里巴巴購買了伺服器空間，並在美國網路託管公司GoDaddy上註冊了域名。
在一個案例中，Naikon強佔了菲律賓科技部的一個伺服器，並利用其來掩蓋Naikon攻擊的發源地，讓攻擊看起來像是來自那個伺服器。
這個駭客小組通過將Aria-body隱藏在Word文檔和安裝微軟Office程序的文件中入侵計算機。使其難以被查出的是，這個工具隱藏自己的能力比其他這類工具更有效。
Aria-body可以像寄生蟲一樣附著在各種類型的文件上，因此它沒有固定的活動模式。操縱這個工具的人可以遠程更改其部分代碼，所以，在攻擊了一台計算機後，Aria-body在入侵下一台機器時看上去可能會不同。對安全調查人員來說，固定活動模式是他們通常尋找的問題跡象。
「人們有時沒有看到中國在全球範圍進行駭客攻擊所具有的強大能力，」澳洲前國防官員詹寧斯說。「他們有成千上萬的人在他們的信號情報部門和國家安全部工作。中國有能力也有早已表現出來的意圖，打入其認為能獲取有用信息的任何地方。」
「檢查點」沒有透露其表示已被Naikon滲透的所有目標，但表示這些目標包括大使館、政府部門，以及從事科技業務的國有企業。
「在整個研究過程中，我們發現，該駭客團體調整了其特徵武器，以便在被其滲透的政府部門用名字搜索特定文件，」「檢查點」專家芬克爾斯坦說。「這一事實本身就加強了這樣一種理解，即存在一個重要的、計劃周密的基礎設施和行動前情報收集。」
※每日每人發文、上限量為十篇，超過會劣文請注意
⊕標題選用"新聞"，請確切在標題與新聞來源處填入，否則可無條件移除(本行可移除)