search
FBI逮捕一名上海黑客 指控其為OPM黑客事件關鍵成員

FBI逮捕一名上海黑客 指控其為OPM黑客事件關鍵成員

一名人被FBI在洛杉磯國際機場逮捕,並於本周以計算機入侵罪名被起訴。

這名人名為余平安(音譯),FBI指控其為美國人事管理辦公室(OPM)被黑一案的關鍵團隊成員。OPM被入侵的事情,首次曝光於2015年,2000多萬人的個背景信息調查文檔遭泄,包括560萬的指紋記錄,以及420萬現任美國政府僱員和前僱員的人事檔案。此事最終導致,OPM主管凱瑟琳·阿楚雷塔的辭職。

余平安

余平安,上海人,來美國參加會議后即被捕。警方指控其售賣OPM入侵案中使用的惡意軟體,名為Sakula。該惡意軟體在當時非常罕見,因此易於隱蔽並躲過檢測。

指控文檔稱,余平安入侵了分別於美國麻省、亞里桑那、聖地亞哥和洛杉磯的四家公司,使用了不常見的混合惡意軟體(主要來自於Sakula家族的攻擊代碼),通過沒有正確打補丁的瀏覽器滲透這些公司的伺服器。

這些攻擊於2012年8月逐漸被披露,有家被入侵的公司在其伺服器上發現高級惡意軟體,然後通知了FBI。分析該惡意軟體之後,又查到了第二家被入侵的公司。該惡意軟體在2012年2月的某一天,就感染了147個訪問公司伺服器的人,利用的是當時的IE瀏覽器零日漏洞(CVE-2012-4969)。在2012年5月至2013年1月之間,該惡意軟體還利用了5個零日漏洞。

2013年6月7日,第三家公司發現其網站感染了罕見的Sakula變種。調查發現,感染上述三家公司的惡意軟體均與同一個C2伺服器通信。2012年12月14日,第四家公司「中標」。感染這家公司的是一個名為PlugX的惡意軟體,並帶有擊鍵記錄組件。這個惡意軟體盜取大量的文件,並將其連同擊鍵記錄一起發送給控制者。

FBI聲稱,已經掌握了余平安以GoldSun為網名的通信。至少從2011年4月起,GoldSun就與位於的操縱者討論惡意軟體的使用和入侵。余平安使用了goldsun84823714@gmail.com的電子郵件,而惡意軟體Sakula的樣本其解密密鑰為「Goldsunfucker」。

余平安被控提供高級惡意軟體給的犯罪分子,後者劫持了位於韓國的一個由微軟運營的合法域名。余平安曾聲稱合作夥伴對Sakula的使用可能會給他帶來惡果,現在看來似乎應驗了。

起訴書(部分)

如果FBI的指控是正確的,余平安就是OPM攻擊事件中使用的的惡意軟體作者。此外,起訴書還顯示,余平安在向攻擊者提供Sakula之前,就和攻擊者有過交易。

2013年3月初,YU便通過電郵的方式給了嫌疑人兩個惡意軟體樣本,「ADJESUS」和「hkdoor」。雖然FBI沒有完成對前者的破解,但源碼記錄中顯示了這款惡意軟體曾在一個滲透測試工具網站(penelab.com)上公開銷售。而第二款惡意軟體的部分代碼也表明這款工具曾在penelab被名為在「Fangshou」的買家買走。許多證據都表明,余平安運營著penelab.com,而嫌疑人則在當時用「Fangshou」的昵稱購買過余平安的惡意軟體。

推薦閱讀

☞【安在專訪】做一件事要多久?張耀疆說,十年

熱門推薦

本文由 一點資訊 提供 原文連結

一點資訊
寫了5860317篇文章,獲得23258次喜歡
留言回覆
回覆
精彩推薦