總部位於特拉維夫的網絡安全初創公司GuardiCore成立於2013年,是一家為數據中心和雲系統開發和銷售網絡安全防禦軟件。
該公司最近調查發現,屬於醫療、保健、電信、媒體和 IT 領域公司的超過 50000 臺服務器被複雜攻擊工具破壞,期間每天有超過 700 名新受害者出現。
重點來了,Guardicore 覺得這事是中國黑客乾的。
Guardicore 稱, Nansh0u 攻擊活動的追蹤過程中,他們對其攻擊對象及手法進行了深入研究,並從中推斷出該活動的幕後執行者很可能是中國黑客。
Guardicore 實驗室的研究人員稱,他們於 2 月 26 日檢測到該攻擊,進一步調查顯示, 4 月份的三次類似攻擊的所有源頭 IP 地址都來自南非,它們共享相同的攻擊過程並使用相同的攻擊方法。受害者大多位於中國、美國和印度。
而根據多條線索, Guardicore Labs 團隊最終認為該活動是中國黑客所為,其原因如下:
攻擊者選擇使用基於中文的編程語言 EPL 編寫工具。
為此廣告系列部署的某些文件服務器是中文的 HFS 。
服務器上的許多日誌文件和二進制文件都包含中文字符串,例如包含已破壞機器的日誌中的結果 - 去重複(“ duplicates removed ”),或者以啟動端口掃描的腳本名稱中的開始(“ start ”)。
這已經不是Guardicore 實驗室第一次調查中國黑客,2017年GuardiCore 實驗室還出了一份中國黑產分析報告,調查中國著名的犯罪組織發動的多起攻擊活動。
在報告中,Guardicore 實驗室同樣認為,該攻擊組織位於中國,代碼中常常會看到中文評論。多數受害者位於中國大陸,木馬 RAT 偽裝成一款流行的中文程序,配置文件列出了來自流行中國提供商的郵件地址。
筆者認為黑客攻擊行為是一個複雜的全球性問題,需要國際社會合作應對,制定國際準則來規範網絡空間行為,而且中國一直是世界上網絡攻擊的主要受害者。GuardiCore實驗室在這個特殊時期發表中國黑客網絡攻擊事件,其背後意義耐人尋味。
閱讀更多 精釀資訊 的文章
