在上周举行的 Black Hat 安全会议上,台湾安全公司 CyCraft 披露过去两年至少有 7 家芯片公司遭到入侵。这一攻击被称为 Operation Skeleton Key(PDF),原因是黑客使用了一种万能钥匙注入器技术,其目的旨在尽可能多的窃取知识产权,包括源代码、软件开发工具包和芯片设计。
CyCraft 拒绝披露受害者的名字。它发现,在部分案例中,黑客通过入侵 VPN 在受害者网络获得初始访问权限。黑客使用一个定制版的渗透测试工具 Cobalt Strike,用 Google Chrome 更新文件的名字伪装植入的恶意程序。黑客还使用 Google 和微软的云服务托管其指令控制服务器。在获得内网的初步访问之后,黑客会寻找密码保护的数据库,尝试对其进行破解。
CyCraft 称,黑客似乎与大陆有联系。其云服务的内容明显是简体中文。黑客通常在北京时区内工作,遵循 996 工作计划表,即上午九点到晚上九点,一周六天,大陆假期则不工作。最关键的是,在多个受害者的网络中出现了一个曾被Winnti团体使用的后门程序。该团体被普遍认为总部设在大陆,且近年来经常实施似乎是国家支持的符合中国利益的黑客行为以及营利性犯罪黑客行为。
(Solidot,Wired)
CyCraft 拒绝披露受害者的名字。它发现,在部分案例中,黑客通过入侵 VPN 在受害者网络获得初始访问权限。黑客使用一个定制版的渗透测试工具 Cobalt Strike,用 Google Chrome 更新文件的名字伪装植入的恶意程序。黑客还使用 Google 和微软的云服务托管其指令控制服务器。在获得内网的初步访问之后,黑客会寻找密码保护的数据库,尝试对其进行破解。
CyCraft 称,黑客似乎与大陆有联系。其云服务的内容明显是简体中文。黑客通常在北京时区内工作,遵循 996 工作计划表,即上午九点到晚上九点,一周六天,大陆假期则不工作。最关键的是,在多个受害者的网络中出现了一个曾被Winnti团体使用的后门程序。该团体被普遍认为总部设在大陆,且近年来经常实施似乎是国家支持的符合中国利益的黑客行为以及营利性犯罪黑客行为。
(Solidot,Wired)
