FireEye口中的中国黑客组织攻击美国国防企业？

2018年3月16日，外交部发言人陆慷主持例行记者会。会上有记者问：据报道，美国网络安全公司 FireEye（火眼）称中国黑客已掀起针对美国工程公司和军工企业的新一轮攻击，这些公司所从事的业务与南海有关。你能否证实并评论?

陆慷回应称，中方坚决反对并打击任何形式的网络攻击，不允许任何国家或个人在中国境内或利用中国基础设施从事网络攻击等非法活动。

FireEye 口中的中国黑客组织

网络安全公司 FireEye 发博文声称，中国黑客组织TEMP. Periscope（又名Leviathan）对与南海争端相关的美国工程和国防等公司发起网络攻击，该组织至少自2013年起就开始专注于攻击多个垂直领域的海事目标，包括工程企业、航运、制造业、国防、政府办公室以及研究型高校等。除此之外，该组织还将矛头指向专业/咨询服务、高科技行业、医疗保健与媒体/出版等领域。

FireEye 表示其目前确定的受害者主要集中在美国，另外欧洲也有多个机构受影响，甚至中国香港地区有一个以上的机构也牵涉其中。

黑客组织 TEMP.Periscope 与 TEMP.Jumper 在目标定位以及战术、技术与程序（简称TTP）方面存在一定交集，而 TEMP.Jumper 与“南海树（NanHaiShu）”也存在交集。

TEMP.Periscope 所使用的 TTP 与恶意软件

FireEye在博文中表示，在最近的攻击活动当中，TEMP.Periscope 利用多套疑似各中国网络间谍组织所共同使用的大型恶意软件库，其中具体包括：

AIRBREAK：一款基于 JavaScript 的后门，亦被称为“Orz”，能够从受入侵的合法服务与网页当中收集配置文件与隐藏字符串，进而检索相关命令。

BADFLICK：一款后门程序，能够修改文件系统，生成反向 shell 并修改其命令与控制（简称C&C）配置。

PHOTO：一款 DLL 后门，亦被称为“Derusbi”，能够获取目录、文件与驱动器列表;创建反向 shell；执行屏幕截图；录制视频与音频;列出、终止及创建进程；枚举、启动并删除注册表项与值;记录键盘输入结果，从受保护的存储介质中返回用户名及密码；对文件进行重命名、删除、复制、移动、读取以及写入。

HOMEFRY：一款面向64位 Windows 系统的密码提取器/破解器，其此前曾被连同 AIRBREAK 以及 BADFLICK 后门一起注入目标系统。某些字符串会使用 XOR x56 进行模糊处理。该恶意软件可在命令行当中接受两条参数：一条用于为每个登录会话显示明文凭证，另一条用于为每个登录会话显示明文凭证、NTLM 哈希以及恶意软件版本。

LUNCHMONEY：一款能够将文件渗漏至 Dropbox 的上传器。

MURKYTOP：一款命令行侦察工具，可用于以不同用户身份实现文件执行、本地移动以及删除。此外，它还能够调度远程 AT 作业、在连接的网络上进行主机发现、扫描已接入主机上的开放网络端口，进而检索该远程主机上的操作系统、用户、组以及共享信息。

China Chopper：一套简单的代码注入 webshell，可在 HTTP POST 命令当中执行微软.NET代码。这意味着该 shell 将能够上传与下载文件，使用 Web 服务器帐户权限执行应用程序，列出目录内容，访问 Active Directory，访问数据库以及其它.NET运行过程中所允许的其它操作。

TEMP.Periscope 在过去的攻击活动中曾经使用以下工具，且有可能未来再次使用，但目前尚无相关重用活动迹象：

Beacon：一款适用于 Cobalt Strike 软件平台的商用后门，通常用于对网络环境进行渗透测试。该恶意软件支持多种功能，包括注入与执行任意代码、上传及下载文件以及执行shell命令。

BLACKCOFFEE：一款可将自身流量混淆为指向 GitHub 及微软 Technet 门户等合法网站的正常流量的后门。APT17（同样被认为是中国的黑客组织） 曾经使用过这款工具。

其它已被发现的 TTP 包括

鱼叉式网络钓鱼，包括使用可能被盗的邮件账户。

利用 CVE-2017-11882 漏洞通过诱饵文件投放恶意软件。

用于恶意软件签名的被盗代码签名凭证。

使用 bitsadmin.exe下载其它工具。

使用 PowerShell 下载其它工具。

使用 C:WindowsDebug and C:Perflogs 作为暂存目录。

利用 Hyperhost VPS 与 Proton VPN 退出节点以访问面向互联网系统上的 webshell。

利用 WindowsManagement Instrumentation（简称WMI）实现持久驻留。

在启动文件夹中利用 Windows 快捷方式文件（.lnk）调用Windows Scripting Host（wscript.exe），从而执行Jscript 后门以实现持久驻留。

从合法网站/论坛（例如 Github 与微软 TechNet 门户网站）的用户配置文件处接收命令与控制（C&C）指令。

FireEye 表示，TEMP.Periscope 黑客组织使用各种技术发起攻击，包括鱼叉式网络钓鱼电子邮件，其中的链接和附件含有恶意软件，用以进入目标计算机网络。FireEye 称，该黑客组织似乎是为了获取对中国政府有利的信息。

FireEye 的高级分析师弗雷德·普兰表示，该黑客组织专注于与南海有关的美国航运实体：TEMP. Periscope 追求的信息主要涉及雷达探测距离或开发中的系统检测海上活动的准确程度等，可能是利用这类数据制定战略决策，他认为这属于国家间谍活动的行径一致。普兰还称，鉴于这些目标组织的类型，TEMP. Periscope 很有可能代表政府发起行动。

又一次捕风捉影

FireEye 虽然称攻击疑似来自中国，但并未证实该组织与中国政府有任何关联。FireEye 拒绝透露遭遇攻击的公司名称。FireEye 在另一份报告中称，美国政府办公室、媒体、学术机构、工程和国防公司遭到攻击。当被问及美国海军是否在目标之列，普兰拒绝做出评论。

美国海军有时会执行所谓的航行自由行动，挑战中国在南海的活动。外媒报道称，中国黑客一直在参与南海有关的其它攻击，中国黑客2015年在“南海仲裁案”听证会上通过恶意软件攻击了海牙常设仲裁法院的网站，使之下线。

2014年，美国以窃取美国公司（包括美国西屋电气公司和美国钢铁公司）商业机密之名起诉5名中国军官。时任外交部发言人秦刚就美国司法部宣布起诉5名中国军官一事表示，美方捏造事实，以所谓网络窃密为由宣布起诉中国军官，此举严重违反国际关系准则，损害中美合作互信。中方敦促美方立即纠正错误、撤销所谓起诉。中方决定中止中美网络工作组活动。

中国外交部一再表示，中美两国在维护网络安全方面拥有重要共同利益。中方愿与美方继续按照双方2015年达成的网络安全重要共识,利用好两国间现有的网络对话机制，加强网络安全领域的合作。同时,我们希望美方在相互尊重的基础上同中方相向而行，推进相关领域合作。