美國正式起訴中國政府資助的駭客組織APT 40的四名成員

7月19日美國聯合歐盟、英國、澳洲、加拿大、紐西蘭、日本與北大西洋公約組織(NATO)成員國,共同譴責中國發動惡意網路攻擊,以盜竊取智慧財產權、商業機密與傳染性疾病研究等,同時正式將3月初利用微軟Exchange Server的漏洞,對全球數以萬計的電腦及網路發動大型網路間諜行動歸咎於中國國家安全部,美國司法部今天同步公布5月一份起訴書,指控四名中國公民代表中國政府對世界各地的公司、政府機構和大學進行駭客攻擊。美國稱,這四名嫌疑人隸屬於中國國家安全部(China’s Ministry of State Security-MSS)下屬的海南省國家安全廳(Hainan State Security Department),並以一家名為海南仙盾科技的公司作為幌子公司從事駭攻,根據起訴書,至少自 2011 年以來,其中丁曉陽、程慶民與朱允敏3名被告為海南國安廳官員,負責協調、管理中共國安部旗下幌子公司內駭客,進行有利中國和相關企業的駭客行動。另一名被告吳淑榮則負責製造惡意軟體,對外國政府、企業與大學電腦系統進行網攻。

根據法庭文件,在APT40進行入侵時,常使用 Tor 網路來存取和操作他們的惡意軟體(BADFLICK, PHOTO, MURKYTOP, 和 HOMEFRY和駭客基礎設施(包含伺服器、網域、電子郵件、GitHub 和 Dropbox 帳戶。)該組織經常使用 GitHub 來存儲惡意軟體和被盜數據,並使用圖像隱碼術(Steganography)來隱藏程式碼,將數據隱藏在圖像中。由於大多數公司不會將 Dropbox 流量視為惡意流量,APT40還經常濫用 Dropbox 帳戶作為被盜數據的收集點。

起訴書指出,受害者遍及美國、英國、瑞士、奧地利、柬埔寨、加拿大、德國、印度尼西亞、馬來西亞、挪威、沙特阿拉伯等12國,遭鎖定產業也橫跨航空、國防、政府與生物製藥等,被盜的商業機密和數據包括用於潛水器(submersibles)和自動駕駛汽車的機密技術、特殊化學配方、商用飛機維修、專有基因定序技術等。APT40 還涉嫌從研究機構和大學竊取針對與伊波拉病毒中東呼吸症候群冠狀病毒、愛滋病、馬堡病毒和兔熱病等相關的傳染病研究數據。此外,美國調查人員表示,APT40 與海南和中國各地的多所大學密切合作。該組織利用他們的海南仙盾公司,與大學工作人員合作,從大學中招募駭客和語言學家,以助他們未來的入侵。

另外,在白宮宣布和司法部指控之後,CISA、國土安全部和聯邦調查局聯合發布了一份檢測 APT40 入侵和活動的技術指南,其中包含 50 多種觀察到中國網軍使用的網路攻擊戰術流程(Tactics, Techniques and Procedures),入侵指標( IOCs)和緩解措施。

有關情資:

Tactics, Techniques, and Procedures of Indicted APT40 Actors Associated with China’s MSS Hainan State Security Department | CISA

中國大學是培養駭客的溫床?! 人工智慧和機器學習恐成APT攻擊的利器⚔️⚔️⚔️

硏究發現至少六間中國大學與APT駭客組織有關聯,利用大學課程研究開發人工智慧(Artificial Intelligence, AI)和機器學習(Machine learning, ML)技術,上海交通大學,哈爾濱工業大學,海南大學等紛紛上榜。

Credit to : CSET

喬治城大學(Georgetown University)的安全和新興技術中心(CSET)在一篇名為“Academics, AI, and APTs,”的研究報告中警告說,一些中國大學中進行的研究很可能很快會被納入中國政府資助駭客組織(APTs)所使用的技術中。這些大學過去與中國駭客團體有聯繫,並經常從教職員或學生中招募駭客。

Academics, AI, and APTs的作者Dakota Cary表示:這些合作關係本身就是軍民融合(military-civil fusion)的案例,允許國家資助的駭客迅速將研究從實驗室轉移到實戰現場。

報告中研究的六所大學包括海南大學,東南大學(江蘇省),上海交通大學,西安電子科技大學,浙江大學和哈爾濱工業大學。

海南大學

與APT 40有關聯: 海南大學僱用的教授與APT 40主導了一埸的網路戰役,有資安界深喉嚨之稱的Intrusion Truth揭露並描述APT 40効力於海南省國安局 (Hainan Bureau of the MSS)。

目前的AI / ML研究: 使用關於機器學習中的整體學習(Ensemble Learning)來建立用於分散式阻斷服務攻擊(DDoS)的預警系統的研究。

東南大學

與Deep Panda有關聯:2014年東南大學一位教授和一家與中國國安局簽約的知名的資安公司舉辦了駭客競賽,為駭客攻擊在美國提供了的真實目標。

該競賽中使用的惡意軟體也是Deep Panda在2015年用於Anthem遭駭客入侵導致大量用戶個資外洩事件中。該大學還多次獲得了中國政府有資訊項目的多次資助。東南大學還經常通過招攬與資安有關的職位或硏究職位,在其網站上標榜其成就。

目前的AI / ML研究: 在大學進行的AI / ML研究主要集中在防禦技術上。這位曾於2014年舉辦駭客大賽的教授目前正在積極研究如何使用機器學習進行異常檢測-一種尋找網路行為異常模式的技術。他還是三個用於資訊安全研究計劃的秘密資助對象。根據大學網站其他教授也在中使用AI系統進行各自的網路安全研究。

上海交通大學

與APT1有關聯: 新聞報導將大學員工與APT1(又稱中國人民解放軍61398部隊)進行的駭客攻擊聯繫起來 。大學教職員還與APT1成員一起發表了研究論文。上海交通大學資訊安全工學院也位於一個軍事基地,APT1駭客還使用交通大學電子郵件地址註冊了網駭基礎設施。

目前的AI / ML研究:上海交通大學在進攻網路安全方面進行大量研究,大多數AI / ML研究都是為了在網路安全中使用防禦性AI/ML技術,例如識別惡意URL,檢查Web流量以識別殭屍網路,歸因於某類型的DDOS攻擊以及一連串的專用入侵檢測系統。同時也進行針對ML / AI的進攻性使用的研究,例如使用ML檢測軟體漏洞,檢測Tor流量以及提高密碼猜測攻擊的準確性。此外,上海交通大學教授撰寫的與AI有關的文章也出現在中國國安部期刊中。

西安電子科技大學

與APT3有關聯: 中國國安部第十三局的一個部門和APT3的管理組織廣東省信息安全測評中心於2017年開始與西安電子科技大學合作,提供由網路和資訊安全學院聯合管理的研究生課程。據稱,在該計劃中,西安電子科技大學的學生與中國國安部員工配對,接受了操作培訓。

目前的AI / ML研究: 西安電子科技大學的兩位教授聲稱為中國資安服務的所屬單位,進行AI和網路安全方面的研究。在最近的研究中,他們專注於使用AI / ML進行資料探勘,漏洞發現和利用以及軟體漏洞的自動修補。這項工作的結論是AI / ML最適合識別軟體漏洞,其中一位教授甚至向中國國家漏洞數據庫提交了20個漏洞。

浙江大學

與中國國安部(APT1)有關聯: 該大學從未直接與特定的駭客活動聯繫在一起,但是從這所大學招募了許多中國軍事駭客,這所大學“是一所享有很高聲譽的國際知名網路安全研究學校”。根據CSET研究團隊的說法,大學生不僅會接受AI / ML課程,而且還會接受關於情報的課程。

目前的AI / ML研究: 該大學似乎專注於研究如何攻擊和防御其他AI / ML系統和演算法,例如數據中毒攻擊或後門訓練的方法。

哈爾濱工業大學

與APT1有關聯: 在美國Mandiant網路安全公司關於APT1的報告,將哈爾濱工業大學作為2013年中國網路運營商的招聘中心,雖然大學沒有直接參與任何攻擊,但是哈爾濱工業大學被授權從事最高機密的政府項目,其網路安全中心吹捧著從事9個政府資助的研究項目。存檔的網頁還證實,以前的哈爾濱工業大學員工曾為中國軍隊的電子情報部門工作,該部門的成員後來被指控對美國的Equifax發動網攻

當前的AI / ML研究:  哈爾濱工業大學的AI / ML研究專注於醫學領域的AI使用(51篇論文中佔了49篇)。另外兩篇論文關於ML和網路安全包含檢測和分類軟體的bugs以及使用AI進行軟體行為分析。

CSET團隊認為,通過分析當前的研究領域,外國分析師和決策者可以推斷中國政府的駭客團隊將來如何大量的依賴AI和 ML技術。

Source: https://cset.georgetown.edu/research/academics-ai-and-apts/