E安全6月22日訊 近日，美國網(wǎng)絡(luò)安全公司賽門鐵克（Symantec）稱，疑似中國的黑客組織 Thrip 已經(jīng)滲透到了美國和東南亞的衛(wèi)星運(yùn)營商、防務(wù)承包商及電信公司。賽門鐵克表示，這類入侵行為可攔截軍事和民用通信，屬于國家間諜活動(dòng)。

賽門鐵克發(fā)現(xiàn)Thrip組織黑客活動(dòng)

賽門鐵克對(duì)媒體宣稱已將黑客從被感染系統(tǒng)中驅(qū)逐出去。該公司技術(shù)總監(jiān)塔庫爾（Vikram Thakur）表示，黑客進(jìn)入了控制衛(wèi)星的計(jì)算機(jī)，可能會(huì)改變軌道裝置的位置并破壞數(shù)據(jù)，但目前尚無法確定黑客所采取的通信方式。

賽門鐵克在一份聲明中表示，該公司從2013年開始追蹤 Thrip 這個(gè)位于中國的黑客間諜組織，該組織沉寂了幾年直到最近一年活躍起來，2018年1月該公司利用基于人工智能（AI）的工具發(fā)現(xiàn)了一起入侵事件——黑客對(duì)美國和東南亞國家的衛(wèi)星通訊、電信、地理太空拍攝成像服務(wù)和軍事系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊，賽門鐵克認(rèn)為此次事件與 Thrip 黑客組織有關(guān)。

Thrip黑客組織戰(zhàn)術(shù)對(duì)比

2018年6月20日，賽門鐵克發(fā)布了“間諜組織Thrip 攻擊衛(wèi)星、電信及防務(wù)公司“的威脅情報(bào)。在這份威脅情報(bào)中賽門鐵克表示，與剛被發(fā)現(xiàn)的時(shí)候相比，Thrip現(xiàn)在不僅改變了戰(zhàn)術(shù)，還擴(kuò)大了其使用工具。

在2017年的攻擊中，該組織使用的：

工具包括 PsExec、PowerShell、Mimikatz、WinSCP、LogMeIn；

自定義惡意軟件包括Trojan.Rikamanu、Infostealer.Catchamas、Trojan.Mycicil、Backdoor.Spedear 及 Trojan.Syndicasec 等。

在該組織2017年的攻擊中，該組織已經(jīng)摒棄了此前依靠自定義惡意軟件進(jìn)行攻擊的套路，而是切換成混合自定義惡意軟件和利用” living off the land”（靠山吃山，靠水吃水）的戰(zhàn)術(shù)進(jìn)行攻擊。

據(jù)路透社報(bào)道， Thrip 黑客組織開發(fā)了新工具，并使用了更多可廣泛獲取的程序，目前尚不清楚該組織如何攻破系統(tǒng)。Thrip 過去曾使用被感染的電子郵件實(shí)施入侵，但這次他們并未感染大部分用戶的電腦，而是在服務(wù)器中移動(dòng)，因此不易被發(fā)現(xiàn)。

外媒稱，賽門鐵克并未提到中國政府，但該公司表示這些攻擊的啟動(dòng)平臺(tái)源于中國的三臺(tái)計(jì)算機(jī)。賽門鐵克目前已把相關(guān)信息提供給美國聯(lián)邦調(diào)查局（FBI）和國土安全部（DHS）以及亞洲的防務(wù)部門。