FBI逮捕一名中国黑客:称其贩卖恶意软件,入侵美国人事管理办公室

近日,美国FBI逮捕了一名中国公民,FBI宣称他参与的黑客组织曾成功入侵美国人事管理办公室(OPM)。这名黑客名为于平安(Yu Pingan,音译),来自中国上海。这周,于平安参加完美国的会议后,在洛杉矶国际机场被Feds美国联邦政府抓捕。

OPM被渗透事件最早是在2015年发现的,这对于美国政府来说着实十分尴尬。当时攻击者窃取了超过2000万人的文件信息,了解这些人的安全背景——其中包含560万人的指纹信息,还有400万在职及以前政府雇员的个人信息。此次攻击事件让当时的OPM负责人下了台。

FBI指控于平安出售攻击OPM的Sakula恶意软件。这个软件在当时十分罕见,隐蔽性做得非常出色,基本做到了神不知鬼不觉。于平安的诉讼书中提到,他分别入侵了来自马萨诸塞州,亚利桑那州,圣地亚哥,洛杉矶四家美国公司的网站。他被指控使用高级恶意程序(源码来自Sakula的攻击母码),通过那些未及时打补丁的浏览器渗透进了这些公司的服务器。

2012年8月攻击才被发现。当时其中一家被攻击的公司在服务器上发现了一种高级恶意软件,他们马上通知了FBI。经过检查发现,另外一家公司的恶意软件与之存在关联——黑客在该公司的网站上植入恶意软件,并通过那些未及时打补丁的浏览器进行蠕虫传播。

而在2012年2月,这个恶意软件通过IE浏览器上的0day漏洞(CVE-2012-4969),感染访问公司主页的用户,感染人数将近有147人。2012年5月和2013年1月之间,网站之上的恶意软件还利用了5个不同的0day漏洞。直到2013年6月7日,第三家公司的网站又遭遇Sakula软件变种攻击。

在上述三起事件中,恶意软件以相同的C&C信号进行通信。最后,2012年9月14日,最后一家公司也被攻击了,这次使用的是Plugx恶意软件,其中还包含一个键盘记录器,该软件窃取了大量的文件和键盘记录数据,并发送给黑客。

美国政府表示,他们已经掌握了于平安(网名GoldSon)和中国黑客组织在2011年8月以来的关于商量如何利用恶意软件进行网络入侵的联系记录。FBI表示于平安使用的邮箱为goldsun84823714@gmail.com,并且还发现Sakula恶意程序样本之一的解密密钥“Goldsunfucker”,以表明与于平安之间的关联。

于平安还被指控为某个未具名的中国黑客组织提供高级恶意程序,该黑客组织还入侵了微软位于韩国的合法域名。他表示:他的同伙使用Sakula对他自己也没有好处,他果然说对了。如果如联邦政府所说,于平安就是开发恶意软件攻击OPM的人,那可想而知政府机构的防范能力真是不敢恭维。

近段时间,中国黑客似乎持续在国际舞台上活跃。近期越南媒体报道称,越南大型企业组织遭遇黑客攻击,疑似与中国黑客组织1937CN有关——报道认为此次攻击与2016年越南航空遭遇攻击存在关联。8月初,两个利用CVE-2012-0158漏洞的恶意文件提交到Virus Total。顺着这些线索研究人员发现更多C&C恶意域名。其中某些域名如dcsvn.org从15年起就开始活跃了。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-08-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏BestSDK

你总是接到莫名推销电话,这个原因可以帮你解读

一个好消息,一个坏消息 好消息是:2016年补天平台共收录可导致个人信息泄露的网站漏洞359个,漏洞数量较2015年的1410个大幅下降了74.5%。 ? 坏消...

39070
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–现金管理(160)-18银企对账-供应商付款-转账-FB60过帐供应商发票

4.6 银行对账单-供应商付款-银行转账 记账凭证如下: 1、FB60过账供应商发票: 借:办公费用 应交增值税进项税金 贷:应付账款 2、F...

44380
来自专栏FreeBuf

第一起 | 国内恶意软件用伪基站传播Android恶意软件

根据外媒报道称,中国的恶意软件开发者正在使用伪基站(BTS)发送包含Android恶意软件链接的恶意短信。 ? 这是恶意软件开发者使用基站传播恶意软件的第一起案...

278100
来自专栏域名资讯

Sedo榜:域名happymath.com以3.5万美金交易居榜首

在最新一期的Sedo榜中,英文域名happymath.com以3.5万美金,约22.5万元的价格位居榜首。

22580
来自专栏Youngxj

AK博客联盟-把生活写进博客

31540
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–现金管理(160)-23银企对账-供应商付款-承兑汇票-FF67收到银行对账单

4.7.3 FF67收到银行对账单 到期解付,收到银行对账单:付款凭证 借:银行结算(中间科目)10020152 贷:银行现金10020150 进一步清帐 ...

37460
来自专栏安恒信息

2014前网民有必要知道的十大网络威胁(下)

五、GSM(2G)短信可能被监听   这事2013年之前几乎没人知道,其实国内运营商对部分地区的GSM制式的数据通信没有加密,黑客可以监听自己所在基站覆盖范围内...

28150
来自专栏安恒信息

又一家企业被“勒索”遭殃,企业数据安全路在何方

2018年7月8日18:02,安恒信息应急响应中心接到某企业电话求救——公司自动化企业资源管理ERP系统被恶意加密,并提示支付比特币才能解密。该ERP系统中的数...

14340
来自专栏黑白安全

阿里安全协助警方打掉最新型DDoS网络攻击平台

【摘要】图说:阿里协助景宁警方打掉国内首个从事新型DDoS攻击的网络黑灰团伙利用少量带宽即可发起巨量DDoS攻击,让政府问政通道无法正常访问,让学校网页无法下发...

28460
来自专栏FreeBuf

安全奥斯卡(Pwnie Awards 2016)获奖名单

这是一场有关“精彩极了”和“糟糕透了”的安全评选活动,历经10年的安全界奥斯卡这一次又会为我们呈现怎样的精彩… ? 关于Pwnie Awards “Pwnie ...

30560

扫码关注云+社区

领取腾讯云代金券