又是中国黑客干的？全球5万台服务器被破坏！

总部位于特拉维夫的网络安全初创公司GuardiCore成立于2013年，是一家为数据中心和云系统开发和销售网络安全防御软件。

该公司最近调查发现，属于医疗、保健、电信、媒体和 IT 领域公司的超过 50000 台服务器被复杂攻击工具破坏，期间每天有超过 700 名新受害者出现。

重点来了，Guardicore 觉得这事是中国黑客干的。

Guardicore 称， Nansh0u 攻击活动的追踪过程中，他们对其攻击对象及手法进行了深入研究，并从中推断出该活动的幕后执行者很可能是中国黑客。

Guardicore 实验室的研究人员称，他们于 2 月 26 日检测到该攻击，进一步调查显示， 4 月份的三次类似攻击的所有源头 IP 地址都来自南非，它们共享相同的攻击过程并使用相同的攻击方法。受害者大多位于中国、美国和印度。

而根据多条线索， Guardicore Labs 团队最终认为该活动是中国黑客所为，其原因如下：

攻击者选择使用基于中文的编程语言 EPL 编写工具。

为此广告系列部署的某些文件服务器是中文的 HFS 。

服务器上的许多日志文件和二进制文件都包含中文字符串，例如包含已破坏机器的日志中的结果 - 去重复(“ duplicates removed ”)，或者以启动端口扫描的脚本名称中的开始(“ start ”)。

这已经不是Guardicore 实验室第一次调查中国黑客，2017年GuardiCore 实验室还出了一份中国黑产分析报告，调查中国著名的犯罪组织发动的多起攻击活动。

在报告中，Guardicore 实验室同样认为，该攻击组织位于中国，代码中常常会看到中文评论。多数受害者位于中国大陆，木马 RAT 伪装成一款流行的中文程序，配置文件列出了来自流行中国提供商的邮件地址。

笔者认为黑客攻击行为是一个复杂的全球性问题，需要国际社会合作应对，制定国际准则来规范网络空间行为，而且中国一直是世界上网络攻击的主要受害者。GuardiCore实验室在这个特殊时期发表中国黑客网络攻击事件，其背后意义耐人寻味。