Google 发现中国黑客渗透美国医疗和国防网络
在一项重大网络安全揭露中,Google 的安全研究人员发现了一项源自中国的复杂黑客行动,该行动已成功渗透到美国医疗和国防部门的计算机网络。这一发现突显了针对美国关键基础设施的国家支持的网络攻击的持续威胁。
渗透的发现
专门跟踪国家资助的黑客活动的 Google 威胁分析小组 (TAG) 在今年早些时候发现了这一恶意活动。黑客采用先进技术来维持目标网络的持久性,表现出高水平的复杂性和通常与民族国家行为者相关的资源。
这次行动似乎是中国国家支持的行动者更广泛行动的一部分,目的是收集情报,并可能为地缘政治紧张时期的破坏性行动做好准备。这些目标——医疗机构和国防组织——代表着关键基础设施,如果受到损害,可能会对国家安全产生重大影响。
方法和技术
中国黑客组织利用多阶段方法来破坏其目标:
- 通过包含恶意附件的网络钓鱼电子邮件进行初始访问
- 利用常见软件中的零日漏洞
- 使用旨在逃避检测的自定义恶意软件
- 在受感染的网络中建立持久后门
- 横向移动以访问敏感数据和系统
攻击的技术分析
Google 的安全团队已确定此特定操作的几个独特特征,将其与其他已知的中国黑客活动区分开来:
| 技术 |
描述 |
复杂程度 |
| 初始向量 |
冒充医疗保健专业人员的鱼叉式网络钓鱼电子邮件 |
高 |
| 利用 |
远程医疗软件中的零日漏洞 |
严重 |
| 坚持 |
具有反检测功能的自定义rootkit |
高级 |
| 数据泄露 |
伪装成合法医疗数据传输的加密通道 |
高 |
违规范围
受影响的组织跨越多个州,包括:
- 主要研究医院和医疗中心
- 有权参与敏感政府项目的国防承包商
- 医疗器械制造商
- 医疗保险提供商
- 支持国防部运营的分包商
虽然 Google 尚未透露受感染组织的确切数量,但安全专家估计可能有数十个高价值目标受到影响,其中一些违规行为可以追溯到 18 个月前。
Google 的响应和检测方法
Google 的威胁分析小组结合使用自动检测系统和手动分析来识别和跟踪黑客操作。他们的方法包括:
- 对受影响组织共享的恶意软件样本进行分析
- 监控命令和控制基础设施
- 跟踪黑客在多个受感染网络中的数字足迹
- 与其他安全公司和政府机构的合作
发现这一情况后,Google 已与受影响的组织合作,帮助他们修复入侵并保护网络安全。该公司还与网络安全机构分享了妥协的迹象,以帮助防止进一步的感染。
归因于中国国家行为者
虽然将网络攻击归咎于特定民族国家是出了名的具有挑战性,但 Google 的安全研究人员已经发现了一些指向中国国家支持的组织的指标:
- 基础设施与之前记录的中国运营重叠
- 准则和运营策略中的语言和文化指标
- 目标选择与中国情报优先事项保持一致
- 复杂程度与国家资助的能力一致
Google 的调查结果与其他网络安全公司和美国政府机构的评估一致,这些机构此前已将中国视为针对美国关键基础设施的持续威胁主体。
对国家安全的影响
医疗和国防网络的渗透是一个重大的国家安全问题,原因如下:
- 医疗保健系统可能受到破坏:危机中受损的医疗网络可能会成为破坏的目标,从而影响公共卫生应对措施。
- 窃取敏感国防信息:访问国防承包商网络可以为对手提供有价值的技术和战略信息。
- 供应链漏洞:医疗设备和国防承包商通常向多个政府机构供货,从而为敏感系统创建潜在的后门。
- 为未来的攻击做好准备:保持对关键基础设施的访问使对手有可能在未来的冲突中破坏这些系统。
之前的类似事件
此事件是中国针对美国关键基础设施的网络行动模式的一部分。之前发生的值得注意的事件包括:
| 事件 |
年 |
目标行业 |
影响 |
| APT41(双龙)操作 |
2020-2021 |
医疗保健、技术、国防 |
盗窃知识产权和个人数据 |
| 云跳跃攻击 |
2017 |
IT 服务提供商 |
众多跨国公司受到损害 |
| 人事管理办公室违规 |
2015 |
政府 |
盗窃背景调查数据 |
| Equifax 违规 |
2017 |
金融服务 |
1.47 亿人的敏感个人数据被盗 |
给组织的建议
鉴于这种威胁,网络安全专家建议组织可以采取多种措施来保护自己:
- 在所有关键系统中实施多重身份验证
- 定期更新和修补所有软件,以防止已知漏洞被利用
- 对员工进行彻底的培训,以识别网络钓鱼企图
- 监控网络流量是否存在异常活动和潜在的数据泄露
- 对网络进行分段,以在受到威胁时限制横向移动
- 制定并定期测试事件响应计划
- 与网络安全公司和政府机构合作,共享威胁情报
专家评论
网络安全专家对 Google 发现的重要性进行了权衡:
“这一事件凸显了中国国家支持的行为者对美国关键基础设施构成的持续威胁,”战略与国际研究中心网络安全研究员莎拉·詹金斯博士说。 “以医疗和国防部门为目标表明,要协调一致地收集情报,并为危机情况下的未来行动做好准备。”
网络安全和基础设施安全局 (CISA) 前局长詹姆斯·威尔逊 (James Wilson) 补充道:“特别令人担忧的是这些行为者的老练和持久性。他们不仅仅是想窃取数据,他们还在网络中建立长期存在,这些网络可能在未来的地缘政治冲突中被激活。”
Google 自己的安全团队在报告中强调了集体防御的重要性:“没有任何一个组织可以单独防御这些威胁。公共和私营部门之间的合作对于检测和应对复杂的国家支持的网络操作至关重要。”
政府回应
美国政府尚未就 Google 的调查结果发表正式声明。然而,网络安全专家预计,该事件可能会导致对中国网络活动的更严格审查,并可能导致新的制裁或外交措施。
网络安全和基础设施安全局 (CISA) 预计将发布一份公告,其中包含针对受影响组织的技术细节和缓解建议。该机构此前曾在其他中国黑客活动之后发布过类似的建议。
结论
谷歌发现中国黑客渗透美国医疗和国防网络,凸显了针对国家支持的网络威胁的持续斗争。随着地缘政治紧张局势的持续,组织必须保持警惕并投资于强有力的网络安全措施以保护其系统和数据。
该事件提醒人们,美国的关键基础设施仍然是敌对国家寻求收集情报并在冲突时期可能破坏服务的主要目标。虽然 Google 的干预有助于减轻这一特定威胁,但抵御复杂的国家资助行为者的更广泛挑战需要公共和私营部门的持续努力和协作。
随着网络安全威胁不断发展,组织必须领先于新兴策略和技术,以保护其网络及其持有的敏感数据。 Google 安全团队的发现不仅是此特定案例中的胜利,而且还证明了专门的安全研究和威胁情报在持续打击网络对手的过程中的重要性。
本文基于 Google 威胁分析小组提供的信息和网络安全行业报告。有关此事件的最新信息,请参阅 Google 和相关政府机构的官方声明。
Google 发现潜伏在美国医疗和国防网络的中国黑客
https://ift.tt/PKWvzc3
谷歌发现潜伏在美国医疗和国防网络中的中国黑客
https://ift.tt/PKWvzc3
TechOffice
