报告：中共黑客入侵知名海外藏人网站 窃取信息

据一家私人网路安全公司周三（11月13日）公布的调查报告显示，一个据信是由中共政府支持的黑客组织，入侵了两个知名的流亡藏人网站，意图在用户电脑上安装间谍软件，以窃取信息。 根据美国网路安全咨询公司“记录未来”（Recorded Future）的威胁研究部门Insikt Group的分析，一个名为 TAG-112的黑客组织攻击了位于印...

根据美国网路安全咨询公司“记录未来”（Recorded Future）的威胁研究部门Insikt Group的分析，一个名为 TAG-112的黑客组织攻击了位于印度达兰萨拉的流亡藏人媒体“西藏邮报”（Tibet Post）和位于印度南部的一所著名藏传佛教学术和教育机构“西藏下密院”（Gyudmed Tantric University）的网站，似乎是为了进入浏览者的电脑，以获取他们个人及其活动的相关资讯。极为重要的

美联社引述Insikt Group战略情报高级总监康德拉（Jon Condra）的话表示，虽然无法得知TAG-112在受攻击装置上所进行的具体活动，但考虑到中共当局长期以来针对中国少数民族和宗教团体的网路攻击，几乎可以确定它们是在进行资讯收集和监视，而非破坏性攻击。

康德拉表示，这种行为与中共一直以来针对藏人群体的行为一致。

据Insikt Group发布的报告，TAG-112黑客在这些网站中嵌入恶意JavaScript，伪造TLS证书错误，诱骗访客点击伪造证书的HTML页面。这个伪造的错误网页是模仿Google Chrome浏览器的TLS凭证而制作。

点击后，使用者会在不知情的情况下开始下载Cobalt Strike软件，这是安全测试人员常用的合法工具，但经常被黑客利用来进行远端存取和执行指令。该软件可用于记录使用者在键盘上输入的内容、传输文件及其它用途，包括部署类似的恶意软体。

报告指出，TAG-112可能是通过Joomla这款常用的内容管理系统（CMS）的漏洞进入受害的藏人网站。若Joomla创建的网站未得到适当的维护和更新，就经常成为攻击者的目标。TAG-112很可能利用了这些漏洞，成功上传了恶意的JavaScript文件，并且截至2024年10月初，这些文件依然活跃在这些网站上。

中共当局一直否认任何形式的国家支持的网络攻击。

中共外交部称，对于Insikt Group发现两个藏人群体网站遭到黑客攻击一事不知情。