跳到主要內容

美國財政部制裁中國駭客及網路公司

2025年1月17日,美國財政部外國資產管制辦公室(OFAC)宣佈對一名上海駭客尹可成(Yin Kecheng)和一家位於四川的網路安全公司“四川聚信和網路技術有限公司”實施制裁。

尹可成(Yin Kecheng)

  • 背景:尹可成,中文簡寫為尹可成,出生於1986年12月8日,籍貫為中國安徽省。
  • 身份:被美國財政部認定為一名「網路攻擊者」,並且與中國國家安全部(MSS)有關聯。
  • 活動:尹可成從事網路攻擊活動超過十年,並參與了最近美國財政部網路遭入侵事件。據信,他參與了最近美國財政部部門辦公室網路的入侵事件,並獲取了包括即將離任的財長耶倫等官員使用的數百臺電腦上的數千份檔案。
  • 制裁原因:美國財政部根據第13694號行政命令,以及新的《加強和促進國家網路安全創新行政命令》對尹可成進行制裁,理由是其直接或間接參與了未經授權訪問美國個人、美國、美國盟友或合作夥伴的電腦或網路,且其行為對美國國家安全、外交政策、經濟健康或金融穩定構成重大威脅。

四川聚信和網路技術有限公司(Sichuan Juxinhe Network Technology Co., LTD.)

  • 背景:公司成立於2014年5月23日,位於中國四川省德陽市。
  • 業務:是一家網路安全公司,主要經營範圍包括軟體開發、網路技術服務、網路資訊諮詢服務、計算機租賃服務、網站設計與開發、計算機網路工程等。
  • 關聯:美國財政部指出,該公司與中國國家安全部(MSS)保持密切聯系。
  • 活動:直接參與了“鹽颱風”(Salt Typhoon)網路攻擊行動,該行動攻擊了多家美國電信公司和網際網路服務提供商的網路基礎設施。
  • 制裁原因:美國財政部根據第13694號行政命令,以及新的《加強和促進國家網路安全創新行政命令》對四川聚信和進行制裁,理由是其直接或間接參與了源自美國境外的網路活動,這些活動對美國國家安全、外交政策、經濟健康或金融穩定構成威脅,且其目的或效果損害或以其他方式破壞關鍵基礎設施部門中一個或多個實體提供的服務。

美國財政部的制裁手段

  • 資產凍結:所有在美國境內或由美國人擁有或控制的被制裁個人的財產和財產權益均被凍結,必須向OFAC報告。
  • 交易禁止:除非獲得OFAC頒發的通用或特定許可,否則美國人或在美國境內(或過境)的任何交易,如果涉及被制裁或以其他方式被凍結的人的任何財產或財產權益,通常是被禁止的。
  • 關聯實體:任何直接或間接由一個或多個被制裁人單獨或合計擁有50%或以上的實體也被凍結。

中國政府資助的駭客組織及攻擊手法

中國政府資助的駭客組織(通常被稱為APT,即“高階持續性威脅”)經常使用多種攻擊手法,針對政府機構、企業、學術機構及異議人士。

慣用攻擊手法

  • 網路釣魚( Phishing):通過精心設計的惡意電子郵件誘導目標點選惡意連結或下載附件,從而植入惡意軟體,通常針對安全防範能力不足的商業組織和異議人士,規模極大但成效顯著,最近Google給所有企業組織發郵件聲稱通過增強型安全功能檢測到14.9萬封釣魚郵件。針對Line、Telgegram、Whatsapp的釣魚攻擊也長期存在。
  • 供應鏈攻擊(Supply Chain Attack):通過入侵軟體供應商或硬體制造商來植入惡意程式,影響其客戶。例如,通過入侵ERP系統或遠端桌面軟體傳播惡意程式,從而對商業組織展開攻擊。
  • 零日漏洞攻擊(Zero-Day Exploits):駭客組織具有前沿資安研究能力,利用未公開或未修補的軟體漏洞來發動攻擊,通常流入政府組織對高價值目標實施攻擊。
  • APT(高階持續性滲透攻擊):長期收集相關資訊,持續採用各種方法嘗試滲透受害者系統,竊取機密資料或進行間諜活動,具有隱蔽性,不易被發現。
  • 針對邊緣裝置漏洞: 攻擊小型路由器、郵件、防火牆等邊緣裝置,以此為跳板入侵目標系統。
  • 雲端與SaaS攻擊:攻擊雲端服務,獲取敏感資訊,例如利用OAuth許可權濫用訪問雲端資料。
  • 社交工程(Social Engineering):偽裝成可信賴的機構如供應商或客服,誘騙受害者提供敏感資訊或憑證。
  • 後門與木馬(Backdoors & Trojans):通過惡意軟體在受害者系統植入後門,允許持續遠端訪問。
  • 網路針對性滲透(Watering Hole Attack):入侵特定網站,並植入惡意程式碼,當目標使用者訪問時被感染。
  • DNS 劫持:通過劫持DNS解析,將使用者導向惡意網站或監控網路流量,台灣最近 edu.tw 的域名就被廣泛攻擊,用於傳播電信詐騙內容。
  • 與 BGP 劫持 105年韩国部署萨德反导弹系统引起中國抗議。同時中國電信自105年2月起,連續6個月將加拿大到韓國政府網站的路由劫持至中國大陸。BGP劫持的網絡流量中未加密的通信內容會被嗅探和記錄。
  • 勒索軟體(Ransomware):一些中國駭客組織也開始使用勒索軟體來掩蓋其間諜活動,或直接以此獲利。
  • 非法代理伺服器 ORB 網路:為了避免被追蹤,中國駭客開始使用 ORB 網路隱藏連線行蹤
  • 一帶一路電詐園區 媒體報道,電詐園區受中共國安支持,由中國電信公司供應電話卡,這些都是中共資助的網絡攻擊。

中國情報機構的合作模式

中國政府資助的駭客組織通常與特定的網路安全公司、情報單位或軍方機構有關聯。這些合作模式主要包括:

  1. 情報機構直接控制的駭客部隊:情報機構內部直接設立專業駭客部隊,例如解放軍61398部隊
  2. 與國內網路安全公司合作:情報機構與中國的“網路安全公司”合作,例如i-Soon(安洵科技)和成都404(長揚科技),這些公司提供攻擊技術、滲透工具和人員支援,並承接政府委託的“專案”。
  3. 與學術機構合作:情報機構與大學或研究所合作,以“學術研究”為掩護,發展駭客技術與漏洞挖掘。
  4. 招募自由職業駭客與犯罪組織:情報機構會利用網路犯罪組織或個人駭客來執行特定任務,並通過金錢或減刑來換取其服務.
  5. 國營企業提供基礎設施支援:國營企業提供雲端伺服器、VPN、資料中心等基礎設施,讓駭客活動更難追蹤。
  6. 軍民融合政策:政府資助駭客教育與競賽,培養駭客人才,如【天府杯國際網絡安全大賽】競賽。

近四年重要的中國網路駭客事件

  1. 2024年:攻擊臺灣軍工與衛星產業:中國駭客針對臺灣的軍工和衛星產業發動攻擊,特別是無人家制造廠,並通過供應鏈攻擊滲透目標組織。
  2. 2023年:Salt Typhoon攻擊美國電信業:美國多家電信公司遭到“鹽颱風”組織滲透,目的是竊取通訊資料,可能涉及監聽民眾和政府高層。
  3. 2022年:攻擊臺灣電信業:臺灣的電信業遭受大規模攻擊,攻擊次數較前一年增加了650%,旨在竊取通訊資料和監控政府活動.
  4. 2021年:Microsoft Exchange伺服器漏洞攻擊:一個名為“Hafnium”的中國駭客組織利用Microsoft Exchange伺服器漏洞,對全球數萬臺伺服器進行攻擊,竊取電子郵件和其他敏感資訊.
  5. 美國財政部網路遭入侵事件: 尹克成參與了最近美國財政部網路遭入侵事件,並獲取了包括即將離任的財長耶倫等官員使用的數百臺電腦上的數千份檔案。

中國駭客組織發展現況

  • 攻擊手法多樣化:中國駭客組織採用多種攻擊手法,包括供應鏈攻擊、利用邊緣裝置漏洞、社交工程和網路釣魚等。
  • 針對邊緣裝置:駭客組織主要利用網路邊緣裝置(如防火牆、VPN和負載平衡器)的已知漏洞進行初步存取。
  • 目標廣泛:攻擊物件涵蓋政府機構、電信業、軍事工業、衛星產業、教育機構和科技公司。

中國駭客組織主要攻擊的國家與物件

  • 美國:美國政府機構、關鍵基礎設施、電信公司等一直是主要目標。
  • 臺灣:臺灣的政府機關、軍工產業、衛星產業、電信業等遭受攻擊。
  • 其他國家:韓國、加拿大、日本等國家的企業和機構也曾遭受中國駭客組織的攻擊。
  • 關鍵基礎設施:包括電信、能源、金融等領域的關鍵基礎設施。
  • 通訊行業:包括電訊公司和網路服務提供商。
  • 軍工和衛星產業:尤其是無人機制造商和相關技術企業.

總結而言,中國政府資助的駭客組織在技術和策略上不斷演進,攻擊範圍廣泛,對全球各地的關鍵產業和機構構成嚴峻的網路安全威脅。美國財政部的制裁行動旨在遏制這些惡意活動,並追究相關人員和公司的責任。台灣政府也應該加強資安研究,鼓勵民間研究者作出更積極的貢獻。

留言

這個網誌中的熱門文章

阿斯盾科技服務有限公司開始運營反詐騙宣導網站

我想用 Blogspot 建置一個BLOG,用於分享與電信詐騙與網絡安全相關的故事和案例,用於提高民眾的資安防護水平。我應該用什麼標題、域名,如何展開運營,讓更多人看到並主動分享這些內容?用資安通報這個關鍵字如何?你哪些關鍵字可推薦?   1. 標題與域名建議 「資安通報」這個名稱不錯,但可能會顯得有點官方化,考慮到你的目標是提高大眾的資安意識,你可以考慮: 「資安防騙日誌」 (Cyber Scam Watch) 「防詐報告」 (Anti-Scam Report) 「詐騙雷達」 (Scam Radar) 「網安哨站」 (Cyber Security Post) 「資安警報」 (Cyber Security Alert) 域名選擇建議 : scamalert.blogspot.com anti-fraud-report.blogspot.com cybersecuritywatch.blogspot.com infosec-daily.blogspot.com fraudradar.blogspot.com 你可以在 Blogspot 嘗試不同的域名,看看哪些還可用。 2. 如何運營,吸引更多人關注與分享 (1) 內容規劃 真實案例分析 :分享近期的詐騙案例(如假投資詐騙、網購詐騙、釣魚郵件等)。 防範指南 :教學如何識別詐騙,提高資安防護能力。 工具推薦 :介紹資安工具(如密碼管理器、雙重驗證、詐騙查詢工具)。 新聞與趨勢 :定期追蹤國內外最新詐騙手法與防詐趨勢。 專家訪談 :邀請資安專家或法律顧問分享專業見解。 (2) 內容推廣 社群平台同步發布 :在 Facebook、Instagram、LinkedIn、X(Twitter)等平台同步分享內容,並加入防詐社群。 SEO 優化 :使用熱門關鍵字(見下方推薦),提升 Google 搜尋排名。 短影音與圖文懶人包 :製作簡單易懂的短影音(可用 Instagram Reels、YouTube Shorts),搭配圖文懶人包,提高分享率。 電子報與 LINE 社群 :建立訂閱電子報或 LINE 社群,讓讀者能夠第一時間獲取最新資訊。 與資安組織合作 :例如台灣資安機構、警方、數位發展部等單位。 3. 關鍵字建議 除了「資安通報」,你還可以使用這些關鍵字來提升搜尋排名: 防詐騙 、 詐騙案例 、 電信詐騙...

Facebook賣二手物品會遭遇詐騙賣家留言

有一名Bikexor 網友分享近日遇到的诈骗手法 。他日前在facebook上的market place上架一個三星 帶散熱片的2TB固態硬碟,有一名叫Sohan Khan的網友說自己的家人想買,先是要求加「蘇菲Sophie」的Line,這位賣家加了之後,對方卻要求要提供照片,然後又要求改成蝦皮或 賣貨便 的方式,還主動提到運費由他出。 Bikexor不是網路菜鳥,他也開了蝦皮連結給對方,同時他也感覺到對方有問題,認為對方若再說蝦皮有問題的話就百分之百是詐騙。 詐騙手法分析 在這起詐騙案例中,有幾個不合常理的地方: 可疑的ID名稱:該用戶的ID為 Sohan Khan,這在台灣並不常見,值得警惕。 矛盾的說詞:對方聲稱「家人確定要買」,但家人連商品圖片都沒看過,這顯然是謊言。然而,這正是詐騙者的高明之處——利用這種明顯的漏洞來篩選目標,排除警覺性高的賣家,避免浪費自己的時間。換句話說,詐騙者在篩選容易上當的受害者。 異常的交易方式 開價後完全不討價還價,與一般買家的行為模式不同。 先詢問賣家地址,而不是主動提供自己的地址。 迅速要求透過蝦皮或「買貨便」進行交易,這類平台經常被用來進行詐騙。 詐騙手法解析 這類詐騙通常分為兩個階段:引流與詐騙執行。 引流:詐騙者會在社交媒體上尋找賣家,然後使用預先設計好的格式化留言,引導賣家加 LINE 進一步聯繫,並要求提供商品圖片。 詐騙執行:一旦賣家進入對方的話術圈套,真正的職業詐騙者便會登場。他們的常見手法包括製造付款失敗的假象,然後要求賣家添加另一個所謂的「客服 LINE」來解決問題,進一步引導受害者落入圈套。 至於後續的詐騙劇情如何發展,請參閱我們其他的詐騙案例分析。 後續:詐騙者 展開了新的劇情 ,詐騙者提供了轉帳失敗的截圖,接下來提供了一個所謂的“客服”的Line Business 的帳號,詐騙引流進入了第三個階段,第三階段為更精確的操控階段,詐騙者會製造時間壓力和精神壓力,讓你在壓力之下做出錯誤的判斷。詳細劇情請參閲本站其他詐騙案例分析。