趋势科技表示,中国黑客组织“使者熊猫(威胁组织3390)”针对美国国防部承包商发动了一系列攻击。研究人员称之为“铁虎行动”。
“使者熊猫”首次发现于2010年,当时攻击位于中国的教育机构,以及位于西藏、香港和菲律宾的政治目标。该组织在2013年开始攻击美国,目标主要是技术、电信、能源以及制造行业。
“使者熊猫”卷土重来攻击美国政府承包商
如今,该组织再次复活,开始攻击活跃在军队、情报部门、电力、航空航天、能源、电信以及核功能领域的美国政府承包商管理人员。最新的一次攻击似乎是通过一系列技术组合执行的,包括定制化入侵工具、鱼叉式钓鱼攻击以及恶意软件链的传播如Plug X以及Gh0st等。
趋势科技指出,攻击者利用公共资源如谷歌云平台和Blogspot,以及由韩国安全企业SoftCamp Co.Ltd.颁发的代码签署证书发动攻击。趋势科技指出一些攻击于中国大陆有关,原因是由于这个组织只使用仅有中文的VPN服务(白鸽VPN)、大量使 用中文文本作为文件和密码、并使用中文地址注册一些域名。另外的证据包括,攻击者使用HUC数据包传输工具、QQ、Lofter以及163.com,这些 都是受中国黑客组织欢迎的流行工具。此外,研究人员还设法找出用于“铁虎行动”中的虚拟别名是居住在中国上海的郭飞(音译)。
攻击目标是高级别的政府业务
趋势科技指出,该组织能够通过老旧且未修复的服务器渗透到这些组织机构中,并且还修复了其中的一些漏洞以阻止其它组织加以利用。
铁虎攻击造成的数据丢失包括战略计划文档、知识产权、电子邮件、完整的活动目录转储、预算和金融信息。