中美贸易大战持续上演,而在网络攻势上面,中国看来仍然持续不断的试图侵入关键基础设施。资安公司赛门铁克发布报告,指出中国网军除了情报需求侵入国防承包商之外,还锁定卫星系统,严重时将能扰乱全球通讯。
赛门铁克报告指这批来自中国的攻击者“Thrip”,呈现跟先前几次攻击不同的样貌。先前许多中国来的入侵是基于情报动机,要窃取军事、敏感科技情报。但是 Thrip 除了情报之外,还有锁定卫星系统、卫星影像服务器如 Google 地球服务器、Garmin 影像软件服务器,必要时能够破坏卫星通讯或是网络 GIS 服务器运作。
赛门铁克报告还说他们发现 Thrip 锁定 3 家大型电信公司,全部位于东南亚。另外其他目标还有国防承包商。
赛门铁克运用 AI 技术 Targeted Attack Analytics(TAA),找到来自中国网军的新型态攻击。赛门铁克总共追查有 3 部在中国境内的电脑,为 Thrip 攻击的源头。Thrip 是从 2013 年开始被赛门铁克发现,中间停止活动一年,再次活动时增加新的入侵工具。Thrip 初期常用客制化模组,后来充份利用 Windows 既有的模组如 PowerShell、PsExec 躲避追踪。
赛门铁克已经将 Thrip 的情资通报美国国土安全部和联邦调查局,另外也有通报给东南亚受影响国家的资安主管机关。
- China-based campaign breached satellite, defense companies: Symantec
- China-based espionage campaign targets satellite, defense companies
(首图来源:pixabay)
