深淵熊貓Deep Panda組織被指攻擊中東問題專家
責編:admin |2014-07-11 15:37:39美國安全公司CrowdStrike稱,一直以中國/亞太問題地緣政治專家為攻擊目標的中國黑客組織Deep Panda深淵熊貓最近突然以美國的伊拉克/中東問題專家為目標。
CrowdStrike認為顯然與極端主義組織ISIS占領大部分伊拉克地區有關,這一事件影響到了中國的石油利益。伊拉克是中國原油進口的第五大供應國,而中國同時是伊拉克石油行業最大的投資者。
“自從今年6月ISIS在中東變得更加活躍以來,我們看到深淵熊貓把目標轉向了中東。”邁爾斯談到。
中國外交部發言人洪磊在例行記者招待會上否認了這一說法。CrowdStrike發表了一篇對Deep Panda所用惡意程序樣本的分析報告(PDF),詳細說明為什么它認為Deep Panda的成員來自中國:
編譯惡意程序的系統使用的語言是簡體中文,它在系統上安裝的二進制文件包含了Google Chrome的圖標(如下圖),可能為了誘騙受害者以為文件與Chrome有關聯;惡意程序會安裝一個加密的內核驅動,如果奇虎360的安全衛士進程ZhuDongFangYu.exe在運行,驅動不會寫入硬盤;NSI掛鉤代碼與Edward Sun (aka cardmagic, sunmy1@sina.com, onlyonejazz@hotmail.com, cardcian@mail.ustc.edu.cn, QQ# 28025945)發布在邪惡八進制論壇上的代碼幾乎完全相同(這并不表示Edward Sun是作者);
惡意程序使用的許多代碼都能在中國黑客論壇上搜索到,如系統調用掛鉤功能的部分代碼與Steven Lai(QQ號5054-3533,QQ空間)寫的HookSSDT.c代碼相同 (這也不代表Steven Lai是作者,因為代碼可以被復用)。
美國許多龐大著名的智庫通過使用前政府高級官員來維持與政府部門人員的關系, 深淵熊貓在知道這點后調整了他們的攻擊方向。邁爾斯說,深淵熊貓通過專業有效的惡意軟件入侵活動的web應用程序, 通過定位微軟的PowerShell應用程序漏洞使用SQL注射的方式控制web服務器和數據庫。