中国又一黑客组织被曝光！印度一个人士、对外瞄准中国

对内陷害社会活动家，对外针对中国……国内又一个黑客组织被曝光！

16日，中国网络安全公司安天科技集团向《环球时报》独家披露，来自印度的一个定向威胁攻击（APT）组织针对印度境内及包括中国在内的周边目标进行攻击。发起了长达十年的网络攻击活动。

安天将该组织命名为“黑象”，该组织主要针对印度的社会活动家、社会团体和反对派政党，还从印度周边国家（如中国和巴基斯坦）偷窃。等）关于军事和政治目标的重要信息。安天借鉴了其他国际安全团队的研究成果，补充了“暗象”组织针对我国重要单位的网络攻击活动的分析结果。最后通过溯源分析，可以定位到东部5.5时区（印度国家标准时间）的组织背后的操作者。

安天科技集团副总工程师李博松告诉环球时报记者，“暗象”组织的主要攻击手段是通过谷歌/雅虎邮箱或被盗邮箱向目标发送极高含量的内容。一封欺骗性的鱼叉式网络钓鱼邮件，诱骗目标运行诱饵文件，该文件使用各种反杀技术并包含成熟的商业远程控制木马有效载荷，“至少从 2012 年开始，该组织就将目标锁定在印度，包括中国目标包括印度在内的印度各地发起了长达十年的网络攻击，因为攻击组织利用网络攻击以极其黑暗的方式陷害印度的社会活动人士，例如Bhima Koregaon案。隐藏，隐藏了十多年，很少暴露，所以这个组织被命名为‘暗影’。”

资料图

2018 年 1 月，比玛·科雷冈 (Bhima Koregaon) 发生暴力种姓冲突，期间印共的市领导层遭到印度官员的严厉镇压。印度著名社会活动家罗娜·威尔逊（Rhona Wilson）成为本案被告人之一，这与“黑象”组织长期布局，陷害虚假电子证据有关。早在 2016 年 6 月 13 日下午 3 点 7 分，Ronald Wilson 就收到了一位朋友的电子邮件，提醒 Wilson 下载并查看附件。实际上，这是黑客窃取好友邮箱后发送的木马文件。攻击者不仅可以对Wilson的电脑进行一系列窃取操作，还可以通过NetWire木马远程控制他的电脑系统。

2018 年 4 月 17 日凌晨 6 点，印度马哈拉施特拉邦浦那的警察声称收到线人的举报，前往新德里突袭威尔逊的家，并突袭了威尔逊在新德里的家。从二森使用的U盘和电脑硬盘中查获了一些足以定罪的“数字证据”。

在安天监控的大部分攻击案例中，攻击者喜欢利用谷歌和雅虎邮箱伪装成收件人的朋友、社交名人或知名机构，诱导内容跟上最新事件，或出版物订阅的形式，或与对方工作方向密切相关。李百松说：“攻击者主要针对活跃在印度的社会活动家、社会团体和共产党等政党活动家，多年来针对特别重要的个人目标，跨多个系统平台开展监控活动。不仅持续获取个人隐私和文件信息，并通过这些被攻击设备存储和发送非法信息，制造假案，陷害相关人员，针对印度以外其他国家的军事和政治目标，攻击者主要针对长期潜伏的并不断窃取秘密。”

此外，该组织还针对我国的军事和政治目标。据介绍，2020年10月13日，国内某重要单位邮箱收到一封可疑邮件。发件人使用了 Gmail 邮箱。这封邮件的主题是“关于丢失带有敏感文件的外交包裹的信”，它被张贴在 文本提供了一个可以下载可疑文件的网盘链接。当自解压诱饵执行后，四个木马程序开始运行，李柏松解释说，“这个ParallaxRAT远程控制木马是一个开放的商用远程控制，具有文件管理、按键记录、远程桌面、密码窃取、命令执行、进程管理、上传和执行的能力已经足够成熟和稳定，足以支持日常的秘密窃取操作。”

据《环球时报》报道，安天对来自印度的疑似网络攻击事件的抓捕分析始于2013年，“白象”、“小象”、“苦象”等攻击组先后被抓获、分析、命名、裸露。李博松说：“在过去10年的攻击中，印度网络攻击的重心逐渐从巴基斯坦转移到了中国。通过对‘黑象’攻击团伙活动的监控，我们可以看到，印度相关机构不仅极其频繁地针对周边国家进行网络攻击，同时网络攻击被广泛用于国内社会管控，甚至被用来陷害其国内社会活动家，具有很强的隐瞒能力，值得关注和警惕。”