微软公司的研究人员周四表示,一个疑似与政府有关联的黑客组织正积极瞄准台湾的数十家机构,作为网络间谍活动的一部分。微软用"亚麻台风"(Flax Typhoon)这个名称来描述这个总部设在中国的组织,该组织正在努力获得并保持对主要是台湾当地各种机构的长期访问权限,尽管在东南亚、北美和非洲也发现了一些受害者。该组织的目标包括政府机构、制造企业和科技公司。
了解更多:
这一消息是在拜登政府批准向台湾提供 5 亿美元的一揽子武器计划以及中国在台湾岛附近进行新一轮军事演习之后发布的。三个月前,微软和一个情报机构联盟透露,与中国有联系的黑客将关岛的电信系统作为攻击目标,这一行动可能为切断美国与其在东亚的军事资产之间的通信奠定了基础。
微软周四的报告描述了一个相当隐蔽的行动者,它在行动中使用了极少量的恶意软件,而是依赖于受害者系统中已有的工具,"以及一些正常的良性软件"。微软研究人员没有观察到该组织利用其对台湾系统的访问权限开展其他行动,但指出该组织使用的"技术很容易在该地区以外的其他行动中重复使用,并将受益于更广泛的行业能见度"。
该公司在博客中说:"虽然我们对这些威胁的可视性使我们有能力向客户部署检测,但对该行为体活动的其他部分缺乏可视性迫使我们推动更广泛的社区意识,以进一步调查和保护整个安全生态系统。"
研究人员指出,Flax Typhoon 自 2021 年年中开始活跃,已知它使用了 China Chopper 网页外壳,Hafnium 也曾使用过该外壳,Hafnium 是一个有国家支持的中国黑客组织,它在 2021 年 3 月披露的间谍活动中成功利用了微软 Exchange Server 软件中的多个零日漏洞。同年晚些时候,联邦调查局入侵了受害者服务器,删除了 Hafnium 恶意软件。
据微软称,Flax Typhoon 还被观察到使用 Metasploit(一种流行的渗透测试框架)、Juicy Potato 权限升级工具、Mimikatz(一种数据渗透工具)和 SoftEther 虚拟专用网络 (VPN) 客户端。