疫情延燒 美資安公司：中國駭客間諜活動劇增

美國網路安全公司火眼（FireEye）今天表示，他們發現疑似中國駭客團體，從今年1月下旬開始發動新一波網路間諜行動，當時武漢肺炎疫情剛開始從中國往外擴散至全球。

路透社報導，火眼在報告中表示，從1月20日開始，被稱為「APT41」的駭客團體，開始大舉對火眼的75個客戶下手，這些客戶從製造商、媒體業者到醫療保健機構和非營利組織都有。

火眼安全架構師葛萊爾（Christopher Glyer）說，間諜活動劇增有「多種可能解釋因素」，他指出，華府與北京在貿易方面仍存在長期且加劇的緊張關係，近期又爆發武漢肺炎（2019冠狀病毒疾病，COVID-19）摩擦，去年底爆發的武漢肺炎迄今已造成全球超過2萬人喪命。

報告提到，這是「近年來我們觀察到的中國網路間諜最廣泛活動之一」。

火眼拒絕透露受影響客戶名單，中國外交部並未直接回應火眼指控，但發出聲明表示中國才是「網路犯罪和網路攻擊的受害者」。美國國家情報總監辦公室（ODNI）拒絕置評。

火眼在報告中表示，APT41利用最近披露的思科系統（Cisco Systems Inc.）、思傑系統（Citrix）和其他公司的軟體瑕疵，入侵美國、加拿大、英國、墨西哥、沙烏地阿拉伯、新加坡以及其他超過12個國家境內的數十個企業網路。

FireEye：無視疫情散布，中國駭客攻擊散布在逾20個國家的Citrix與Zoho漏洞

美國資安業者FireEye本周指出，專門替中國政府從事間諜行動的駭客集團APT41，並未因武漢肺炎疫情的爆發而偃旗息鼓，反而趁著各國忙著防疫的同時，在今年的1月20日到3月11日間，針對全球的Citrix NetScaler/ADC、思科路由器及Zoho ManageEngine Desktop Central的安全漏洞展開大規模的攻擊，波及全球逾20個國家的設備或系統。

被APT41此波攻擊鎖定的產業，涵蓋了金融、建築、國防工業基地、政府組織、健康照護機構、製藥、房地產、電信、交通、旅遊、高科技、教育機構、製造業、媒體業、石油工業及公用事業等，而且它們分布在北美、歐洲、及亞洲地區等逾20個國家。

根據FireEye的觀察，APT41是在1月20日啟動新一波的攻擊行動，該集團開採了存在於Citrix設備上的CVE-2019-19781漏洞、ManageEngine Desktop Central統一終端管理解決方案的CVE-2020-10189漏洞，以及思科路由器上的CVE-2019-1653與CVE-2019-1652漏洞，以在相關的設備與服務中植入後門。

值得注意的是，這些漏洞都是最近半年內才被揭露或修補的，顯示APT41集團的資源非常豐富，且動作迅速。

FireEye也發現，APT41在今年2月2日到2月19日之間幾乎毫無行動，猜測可能跟中國政府忙著封城與隔離有關。

FireEye指出，這是中國間諜集團最近幾年來最廣泛的攻擊行動之一，APT41在開採上述漏洞之後，於受害系統上植入坊間既有的Cobalt Strike與Meterpreter等木馬程式，但依照APT41過去的習慣，該集團會先分析及理解受害組織的內部架構之後，才會進一步部署更先進的惡意程式。

武漢肺炎》中國駭客同步疫情入侵全球！受害企業遍及20國

美國網路安全公司火眼（FireEye）發布最新報告指出，疑似來自中國的駭客組織「APT41」正對全球逾12國發動網路間諜行動，時間點是今年1月下旬起，跟武漢肺炎疫情剛開始從中國往外擴散至全球的時間相同。中國外交部未直接回應火眼的指控，但強調「中國才是網路犯罪和攻擊的受害者」。

火眼指出，自1月20日起，駭客團體開始大舉入侵美國、義大利、菲律賓、印度、日本、英國、新加坡、法國等20個國家境內的數十個企業網路，受害者從製造商、新聞媒體、醫療保健機構到非營利組織都有，手法是利用最近熱門的思科系統（Cisco Systems Inc.）、思傑系統（Citrix）和其他公司的軟體瑕疵入侵。

火眼指出，這是「近年來發現的中國網路間諜活動影響範圍最廣的一次」，安全架構師葛萊爾（Christopher Glyer）認為，這背後可能有多種原因促成。例如美國華府與北京在貿易方面一直存在長期且不斷加劇的緊張關係，加上近期又爆發武漢肺炎，使雙方頻生摩擦，這些都可能是導致間諜活動增加的因素。