APT 27是一個活躍中的黑客組織,其網絡攻擊行動最早可追溯至2010年[1]。該組織被西方懷疑是中國用來針對西方政府發動攻擊[2]的中國黑客組織[3][4][5]、受到中國官方支持[6]。該組織曾對全球數百個組織,包括美國國防承包商、金融服務公司、歐洲無人機製造商以及一家法國能源管理公司在美國的子公司發動過攻擊,並擁有如LuckyMouse[7]Iron TigerEmissaryPanda[8]Threat Group-3390[9]TG-3390[4]Bronze Union[4]等多個別名[9]

自研工具

APT 27開發有自己的專有遠程訪問工具系列,例如HyperBro和SysUpdate,該系列工具自2016年以來一直被使用[5]。APT 27還開發有定製黑客工具SysUpdate,EnigmaSoft表示APT 27曾使用該工具攻擊過土耳其蒙古[10]

入侵記錄

持續性網絡間諜活動

2018年6月13日,卡巴斯基實驗室的研究人員發表文章表示,其在同年3月份發現了一起針對某中亞國家數據中心的持續性網絡間諜活動,目標是在該國的政府網站上實施水坑攻擊,以獲取廣泛的政府資源,其攻擊行動最早可追溯至2017年11月中旬,並認為該行動出自APT 27之手[8][9]

中東國家政府

2019年4月,派拓網絡Unit 42發現APT 27利用了微軟SharePoint的漏洞CVE-2019-0604在Sharepoint服務器上安裝China Chopper webshel​​l來攻擊中東兩個政府組織[11][12]

攻擊MySQL服務器

據SecNews於2019年5月30日的報道,其以檢測到APT 27以大型企業網絡為目標,對MySQL服務器進行了15,000次攻擊,攻擊目標為德國美國法國中國波蘭俄羅斯等國企業,並表示APT 27使用惡意軟件NewCore RAT攻擊政府網站和數據中心,並勒索其支付贖金[3]

德國製藥和科技公司

2022年1月26日,德國聯邦憲法保衛局表示黑客組織APT 27已對德國的製藥和科技公司發動持續攻擊,而該局此前於2019年的一份報告中表示APT 27另有別名為熊貓使者,暗示APT 27含有中國背景,並表示該組織對外國使館和關鍵領域構成威脅[2][13]

台灣特別網絡行動

2022年8月3日,一個自稱是APT 27組織的YouTube頻道上傳聲明視頻,表示受佩洛西訪台影響,將對台灣發動特別網絡行動,攻擊目標為台灣的政府網站與基礎設施[14][1]。此後,在2022年環臺軍事行動期間,台灣的許多政府網站、公共設施遭受入侵,APT 27宣布該入侵行為出自其手[15][1]。8月7日,APT 27再次在YouTube頻道上傳視頻表示其行動暫時結束,並表示其攻擊了台灣內政部警政署交通部公路總局台灣電力台灣總統府、金智洋科技公司旗下物聯網及其路由器、財金資訊公司、神腦國際公司等目標,並宣布其手下掌握有超過20萬台的台灣聯網設備[16]

另一方面,台電表示,在3日當天受到黑客攻擊次數高達490萬次,超過去兩個月的總和[6]。8月5日,警政署就警用移動電腦勤務系統服務中斷一事表示,原因是機房網絡連線設備故障,初步排除遭黑客攻擊,並表示民眾個人資料未遭外泄[17]。7日,台灣行政院數位政委唐鳳表示,近期政府機關與關鍵基礎設施網站遭到DDoS攻擊,但因現採用的Web3為主的分散式架構,可完全排除阻斷性攻擊、政府資料未外泄,並表示數位部網站「一秒鐘都沒卡住過」[18]

埃森哲網絡威脅情報專家王艾瑞(Eryk Waligora)表示,到目前為止的攻擊似乎是「戲劇性大於威脅性」[6]

參見

參考來源

  1. ^ 1.0 1.1 1.2 台灣多個政府機構網站遭入侵 黑客組織APT 27承認犯案. 星島日報. 2022-08-05 [2022-08-07]. (原始內容存檔於2022-08-07) (中文). 
  2. ^ 2.0 2.1 “熊猫”原来是黑客 德国公司受威胁. 自由亞洲電台. 2022-01-27 [2022-08-07]. (原始內容存檔於2022-05-24) (中文(中國大陸)). 
  3. ^ 3.0 3.1 Absent Mia. Chinese team of hackers APT-27 launched 15.000 attacks on MySQL Servers. SecNews. 2019-05-30 [2022-08-07]. 
  4. ^ 4.0 4.1 4.2 Nikolaos Pantazopoulos、Thomas Henry. Emissary Panda – A potential new malicious tool Introduction. NCC Group. 2018-05-18 [2022-08-07]. (原始內容存檔於2019-06-12). 
  5. ^ 5.0 5.1 APT27. EnigmaSoft. [2022-08-07]. (原始內容存檔於2022-08-07) (中文(中國大陸)). 
  6. ^ 6.0 6.1 6.2 台政府官网猛烈遭袭 黑客称“特别行动”. 德國之聲. 2022-08-04 [2022-08-07]. (原始內容存檔於2022-08-04) (中文(中國大陸)). 
  7. ^ The complexities of public attribution. www.kaspersky.com. 2019-04-12 [2022-08-07]. (原始內容存檔於2021-05-09) (美國英語). 
  8. ^ 8.0 8.1 LuckyMouse hits national data center to organize country-level waterholing campaign. securelist.com. [2022-08-07]. (原始內容存檔於2022-04-21). 
  9. ^ 9.0 9.1 9.2 卡巴斯基:APT27黑客组织入侵某中亚国家数据中心. 安全內參. 2018-06-18 [2022-08-07]. (原始內容存檔於2023-06-25). 
  10. ^ GoldSparrow. SysUpdate. EnigmaSoft. 2019-06-04 [2022-08-07]. (原始內容存檔於2021-05-09) (美國英語). 
  11. ^ Falcone, Robert. Emissary Panda Attacks Middle East Government SharePoint Servers. Unit 42. 2019-05-28 [2022-08-07]. (原始內容存檔於2022-02-18) (美國英語). 
  12. ^ Emissary Panda(ATP27)攻击:针对中东政府的Sharepoint服务器. 安聯智庫. 2019-06-04 [2022-08-07]. (原始內容存檔於2022-08-07). 
  13. ^ BfV指控APT 27黑客组织针对德国的制药和科技公司. VOI - Waktunya Merevolusi Pemberitaan. [2022-08-07]. (原始內容存檔於2022-08-07) (中文). 
  14. ^ APT27 attack. APT27. 2022-07-03 [2022-08-07]. (原始內容存檔於2022-08-06). 
  15. ^ 27 Attack. Good noon to citizens of the world, this is the result of our attack, we will soon announce the 0day of some Taiwanese devices and their government leaked data, and we now have more than 200,000 Taiwanese connected devices in our hands, good luck!. 2022-08-07 [2022-08-07]. (原始內容存檔於2022-08-07). 
  16. ^ apt27attack. 2022-08-07 [2022-08-07]. (原始內容存檔於2022-08-07). 
  17. ^ 警政署公共關係室. 警用行動電腦(M-Police)等相關勤務系統服務中斷情形 警政署聲明資料. 內政部警政署. 2022-08-05 [2022-08-07]. (原始內容存檔於2022-08-07). 
  18. ^ 記者李欣芳、徐子苓. 唐鳳提新招 破解中國網攻. 自由時報電子報. 2022-08-07 [2022-08-07]. (原始內容存檔於2022-08-07) (中文(臺灣)). 

外部連結