Sophos调查报告披露中共黑客如何利用安全漏洞

周四（10月31日），英国网络安全公司Sophos发布最新研究报告，披露其研究团队针对中共政府支持的黑客组织长达五年“以牙还牙”的交锋过程。该报告打破了网络安全行业对安全设备漏洞这一严重问题的沉默。

Sophos表示，近几年，网络安全设备自身的漏洞常常成为黑客入侵的突破口。仅过去一年，就有Ivanti、Fortinet、Cisco和Palo Alto等多家公司产品的漏洞被黑客利用，引发了大量的恶意攻击。

Sophos的首席信息安全官罗斯‧麦克凯查（Ross McKerchar）表示，“这已经成为半公开的秘密。人们知道这种事情在发生，但大家都保持沉默。”

他说，“我们选择采取不同的方法，尝试非常透明的应对方式，直接面对这一问题，并在战场上与对手对决。”

据Sophos的最新报告，该公司与这些中共黑客的长期交锋始于2018年，当时Sophos位于印度子公司办公室的一台电脑被发现植入了名为CloudSnooper的恶意软件。初次入侵似乎在收集Sophos产品的资讯，以便后续攻击Sophos的客户。

2020年，Sophos发现黑客已感染全球数万台防火墙设备，试图安装名为Asnarök的木马病毒，并利用这些被感染设备作为进一步入侵行动的跳板。

Sophos的威胁情报与事件响应团队X-Ops随即展开调查，发现在成都注册的Sophos设备上有黑客测试的早期迹象，并透过用户注册和下载记录，追踪到成都一间公司——四川无声信息技术有限公司（Sichuan Silence Information Technology）和成都电子科技大学的一名员工，后者曾在网上使用“TStark”这个网名搜寻Sophos防火墙的结构性资料。

X-Ops团队当时向成都黑客用来测试的Sophos设备植入了间谍软件，即通过Sophos自家产品的少数安装代码进行“反向监视”。Sophos表示，这一预先的监视行动使公司能够获取黑客代码的关键部分，阻止第三波入侵。

麦克凯查表示，“第一波攻击时，我们处于劣势。第二波则旗鼓相当，第三次攻击，我们抢先了一步。”