FBI逮捕一名中國黑客：稱其販賣惡意軟體，入侵美國人事管理辦公室

近日，美國FBI逮捕了一名公民，FBI宣稱他參與的黑客組織曾成功入侵美國人事管理辦公室（OPM）。這名黑客名為於平安（Yu Pingan，音譯），來自上海。這周，於平安參加完美國的會議后，在洛杉磯國際機場被Feds美國聯邦政府抓捕。

早在2015年，OPM就被滲透過，這對於美國政府來說著實十分尷尬。黑客們竊取了2000萬人的文件信息，用來調查他們的安全背景——其中包含560萬人的指紋信息，還有400萬在職及以前政府僱員的個人信息。這讓當時的OPS負責人下了台。

FBI指控於平安出售攻擊OPM的Sakula惡意軟體。這個軟體在當時十分罕見，並且他的動作也小心，基本做到了神不知鬼不覺的地步。

於平安的訴訟書中提到，他分別入侵了來自馬薩諸塞州，亞利桑那州，聖地亞哥，洛杉磯四家美國公司的網站。他被指控使用高級惡意程序（源碼來自Sakula的攻擊母碼），通過那些未及時打補丁的瀏覽器滲透進了他們的伺服器。

2012年8月，其攻擊才被發現。當時其中一個被攻擊的公司在他們的伺服器上發現了一種高級惡意軟體，他們馬上通知了FBI。經過檢查發現，另外一家公司的惡意軟體與之存在關聯，這家公司的主頁本身是個合法網站，黑客在網站上植入惡意軟體，並通過那些未及時打補丁的瀏覽器進行蠕蟲傳播。

而在2012年2月，這個惡意軟體通過IE瀏覽器上的0day漏洞（CVE-2012-4969），感染那些訪問公司主頁的用戶，感染人數將近有147人。2012年5月和2013年1月之間，網站之上的惡意軟體還利用了5個不同的0day漏洞。直到2013年6月7日，第三家公司的網站又遭遇Sakula軟體變種攻擊。

在上述三起事件中，惡意軟體以相同的C&C信號進行通信。最後，2012年9月14日，最後一家公司也被攻擊了，這次使用的是Plugx惡意軟體，其中還包含一個鍵盤記錄器，該軟體竊取了大量的文件和鍵盤記錄數據，併發送給黑客。

美國政府表示，他們已經掌握了於平安（網名為GoldSon）和黑客組織在2011年8月以來的關於商量如何利用惡意軟體進行網路入侵的聯繫記錄。FBI表示於平安使用的郵箱為[email protected]，並且還發現Sakula惡意程序樣本之一的解密密鑰「Goldsunfucker」，以表明與於平安之間的關聯。

於平安還被指控為某個未具名的黑客組織提供高級惡意程序，該黑客組織還入侵了微軟位於韓國的合法域名。他表示：他的同夥使用Sakula對他自己也沒有好處，他果然說對了。如果如聯邦政府所說，於平安就是開發惡意軟體攻擊OPM的人，那可想而知政府機構的防範能力真是不敢恭維。

近段時間，黑客似乎持續在國際舞台上活躍。近期越南媒體報道稱，越南大型企業組織遭遇黑客攻擊，疑似與黑客組織1937CN有關——報道認為此次攻擊與2016年越南航空遭遇攻擊存在關聯。8月初，兩個利用CVE-2012-0158漏洞的惡意文件提交到Virus Total。順著這些線索研究人員發現更多C&C惡意域名。其中某些域名如dcsvn.org從15年起就開始活躍了。

*參考來源：theregister，infosecurity-magazine ，FB小編Liki編譯，轉載請註明來自FreeBuf.COM