Amy Li报道,根据一家私营网络安全公司日前公布的调查结果,一个被认为由中国政府支持的黑客组织在执行网络攻击时,侵入了两个与海外藏人社区相关的网站,目的是在用户计算机中植入恶意软件,以收集有关海外藏人的信息和情报活动。
报告由网络安全咨询公司“记录未来”(Recorded Future)旗下的威胁研究部门Insikt Group提供,指出中国政府支持的黑客已经入侵了位于印度北部达兰萨拉的流亡藏人媒体《西藏邮报》(Tibet Post)和西藏下密院(Gyudmed Tantric University)网站。此举旨在侵入这些网站的访问者计算机,以获取个人信息及其活动的其他数据。
Insikt Group的研究显示,名为TAG-112的黑客组织负责攻击这些网站,诱导访问者下载伪装成安全证书的恶意可执行文件。一旦用户打开这些文件,“Cobalt Strike Beacon”恶意软件就会在他们的计算机上被加载,用于键盘记录、文件传输以及部署其他恶意软件。
Insikt Group的高级主管乔恩·康德拉指出,尽管无法得知黑客此次入侵的具体行动,但考虑到中国长期从事网络间谍活动,并以流亡藏人社区为目标,此次攻击几乎可以肯定是为了收集信息或监控这些社群,而不是实施破坏性攻击。
他说:“这种行为与历史上针对藏人社区的攻击目标一致。”
中国当局一直否认任何形式的国家支持的黑客攻击,并表示中国也是网络攻击的主要受害者。中国外交部对Insikt Group报告中提到的两个网站遭黑客攻击表示不知情,称中国在网络安全问题上的立场一贯明确,但未给予更多细节说明。
根据Insikt Group的研究,这些网站自今年5月下旬首次被入侵,这些攻击与之前追踪的名为TAG-102的黑客组织有许多重叠之处。这使得分析师得出结论,新攻击者可能是已知组织的一个分支,“致力于实现相同或相似的情报要求”。
康德拉表示,这些重叠行为包括重复使用特定策略、技术和程序,以及针对相同目标的追捕。“几乎可以肯定,这两个威胁集群是相互关联的,”他说。
Insikt Group指出,TAG-102以多个名称闻名,包括“在逃熊猫”(Evasive Panda)和“风暴竹子”(StormBamboo),早在2012年就已投入使用,被普遍认为是中国资助的高级持续威胁组织(APT)。
“多年来,该组织参与了多种活动,重点是针对反对中国政府的个人和组织,例如台湾、香港以及甚至中国大陆的人权组织、宗教机构、少数民族团体、学术界和支持民主或独立运动的人士,”Insikt Group表示。
位于印度的西藏下密院和《西藏邮报》新闻网站已经接到黑客攻击的通知。据康德拉透露,截至本周,西藏下密院作为学习藏传佛教、语言、历史和文化的场所,已似乎解决了这一问题,而新闻网站仍然受到影响。他还指出,《西藏邮报》因促进民主、言论自由和倡导西藏独立而闻名。
中国自称西藏自古以来就是其领土的一部分,尽管在1949年中国掌权后才对这一喜马拉雅地区建立了有效控制。许多藏人仍效忠于达赖喇嘛,这位流亡印度的精神领袖自1959年西藏起义失败后一直流亡海外。中国当局常被指控在西藏侵犯人权,包括试图通过控制农村的语言和佛教传统文化来同化藏人。
(内文照片来自GOOGLE)