FBI逮捕一名上海黑客 指控其为OPM黑客事件关键成员-华盟网

FBI逮捕一名上海黑客 指控其为OPM黑客事件关键成员

华盟学院山东省第二期线下学习计划

一名中国人被FBI在洛杉矶国际机场逮捕,并于本周以计算机入侵罪名被起诉。

1

这名中国人名为余平安(音译),FBI指控其为美国人事管理办公室(OPM)被黑一案的关键团队成员。OPM被入侵的事情,首次曝光于2015年,2000多万人的个背景信息调查文档遭泄,包括560万的指纹记录,以及420万现任美国政府雇员和前雇员的人事档案。此事最终导致,OPM主管凯瑟琳·阿楚雷塔的辞职。

1

余平安,中国上海人,来美国参加会议后即被捕。警方指控其售卖OPM入侵案中使用的恶意软件,名为Sakula。该恶意软件在当时非常罕见,因此易于隐蔽并躲过检测。

指控文档称,余平安入侵了分别于美国麻省、亚里桑那、圣地亚哥和洛杉矶的四家公司,使用了不常见的混合恶意软件(主要来自于Sakula家族的攻击代码),通过没有正确打补丁的浏览器渗透这些公司的服务器。

这些攻击于2012年8月逐渐被披露,有家被入侵的公司在其服务器上发现高级恶意软件,然后通知了FBI。分析该恶意软件之后,又查到了第二家被入侵的公司。该恶意软件在2012年2月的某一天,就感染了147个访问公司服务器的人,利用的是当时的IE浏览器零日漏洞(CVE-2012-4969)。在2012年5月至2013年1月之间,该恶意软件还利用了5个零日漏洞。

2013年6月7日,第三家公司发现其网站感染了罕见的Sakula变种。调查发现,感染上述三家公司的恶意软件均与同一个C2服务器通信。2012年12月14日,第四家公司“中标”。感染这家公司的是一个名为PlugX的恶意软件,并带有击键记录组件。这个恶意软件盗取大量的文件,并将其连同击键记录一起发送给控制者。

FBI声称,已经掌握了余平安以GoldSun为网名的通信。至少从2011年4月起,GoldSun就与位于中国的操纵者讨论恶意软件的使用和入侵。余平安使用了goldsun84823714@gmail.com的电子邮件,而恶意软件Sakula的样本其解密密钥为“Goldsunfucker”。

余平安被控提供高级恶意软件给中国的犯罪分子,后者劫持了位于韩国的一个由微软运营的合法域名。余平安曾声称合作伙伴对Sakula的使用可能会给他带来恶果,现在看来似乎应验了。

1

起诉书(部分)

如果FBI的指控是正确的,余平安就是OPM攻击事件中使用的的恶意软件作者。此外,起诉书还显示,余平安在向攻击者提供Sakula之前,就和攻击者有过交易。

www.idc126.com

2013年3月初,YU便通过电邮的方式给了嫌疑人两个恶意软件样本,“ADJESUS”和“hkdoor”。虽然FBI没有完成对前者的破解,但源码记录中显示了这款恶意软件曾在一个渗透测试工具网站(penelab.com)上公开销售。而第二款恶意软件的部分代码也表明这款工具曾在penelab被名为在“Fangshou”的买家买走。许多证据都表明,余平安运营着penelab.com,而嫌疑人则在当时用“Fangshou”的昵称购买过余平安的恶意软件。

本文由 华盟网 作者:congtou 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

发表评论