深渊熊猫Deep Panda组织被指攻击中东问题专家

untitled

 

美国安全公司CrowdStrike称,一直以中国/亚太问题地缘政治专家为攻击目标的中国黑客组织Deep Panda深渊熊猫最近突然以美国的伊拉克/中东问题专家为目标。

CrowdStrike认为显然与极端主义组织ISIS占领大部分伊拉克地区有关,这一事件影响到了中国的石油利益。伊拉克是中国原油进口的第五大供应国,而中国同时是伊拉克石油行业最大的投资者。

“自从今年6月ISIS在中东变得更加活跃以来,我们看到深渊熊猫把目标转向了中东。”迈尔斯谈到。

中国外交部发言人洪磊在例行记者招待会上否认了这一说法。CrowdStrike发表了一篇对Deep Panda所用恶意程序样本的分析报告(PDF),详细说明为什么它认为Deep Panda的成员来自中国:

编译恶意程序的系统使用的语言是简体中文,它在系统上安装的二进制文件包含了Google Chrome的图标(如下图),可能为了诱骗受害者以为文件与Chrome有关联;恶意程序会安装一个加密的内核驱动,如果奇虎360的安全卫士进程ZhuDongFangYu.exe在运行,驱动不会写入硬盘;NSI挂钩代码与Edward Sun (aka cardmagic, sunmy1@sina.com, onlyonejazz@hotmail.com, cardcian@mail.ustc.edu.cn, QQ# 28025945)发布在邪恶八进制论坛上的代码几乎完全相同(这并不表示Edward Sun是作者);

恶意程序使用的许多代码都能在中国黑客论坛上搜索到,如系统调用挂钩功能的部分代码与Steven Lai(QQ号5054-3533,QQ空间)写的HookSSDT.c代码相同 (这也不代表Steven Lai是作者,因为代码可以被复用)。

美国许多庞大著名的智库通过使用前政府高级官员来维持与政府部门人员的关系, 深渊熊猫在知道这点后调整了他们的攻击方向。迈尔斯说,深渊熊猫通过专业有效的恶意软件入侵活动的web应用程序, 通过定位微软的PowerShell应用程序漏洞使用SQL注射的方式控制web服务器和数据库。

深渊熊猫Deep Panda组织被指攻击中东问题专家:等您发表观点!

发表评论


快捷键:Ctrl+Enter