FBI逮捕一名上海黑客 指控其為OPM黑客事件關鍵成員

一名人被FBI在洛杉磯國際機場逮捕，並於本周以計算機入侵罪名被起訴。

這名人名為余平安（音譯），FBI指控其為美國人事管理辦公室(OPM)被黑一案的關鍵團隊成員。OPM被入侵的事情，首次曝光於2015年，2000多萬人的個背景信息調查文檔遭泄，包括560萬的指紋記錄，以及420萬現任美國政府僱員和前僱員的人事檔案。此事最終導致，OPM主管凱瑟琳·阿楚雷塔的辭職。

余平安，上海人，來美國參加會議后即被捕。警方指控其售賣OPM入侵案中使用的惡意軟體，名為Sakula。該惡意軟體在當時非常罕見，因此易於隱蔽並躲過檢測。

指控文檔稱，余平安入侵了分別於美國麻省、亞里桑那、聖地亞哥和洛杉磯的四家公司，使用了不常見的混合惡意軟體（主要來自於Sakula家族的攻擊代碼），通過沒有正確打補丁的瀏覽器滲透這些公司的伺服器。

這些攻擊於2012年8月逐漸被披露，有家被入侵的公司在其伺服器上發現高級惡意軟體，然後通知了FBI。分析該惡意軟體之後，又查到了第二家被入侵的公司。該惡意軟體在2012年2月的某一天，就感染了147個訪問公司伺服器的人，利用的是當時的IE瀏覽器零日漏洞(CVE-2012-4969)。在2012年5月至2013年1月之間，該惡意軟體還利用了5個零日漏洞。

2013年6月7日，第三家公司發現其網站感染了罕見的Sakula變種。調查發現，感染上述三家公司的惡意軟體均與同一個C2伺服器通信。2012年12月14日，第四家公司「中標」。感染這家公司的是一個名為PlugX的惡意軟體，並帶有擊鍵記錄組件。這個惡意軟體盜取大量的文件，並將其連同擊鍵記錄一起發送給控制者。

FBI聲稱，已經掌握了余平安以GoldSun為網名的通信。至少從2011年4月起，GoldSun就與位於的操縱者討論惡意軟體的使用和入侵。余平安使用了[email protected]的電子郵件，而惡意軟體Sakula的樣本其解密密鑰為「Goldsunfucker」。

余平安被控提供高級惡意軟體給的犯罪分子，後者劫持了位於韓國的一個由微軟運營的合法域名。余平安曾聲稱合作夥伴對Sakula的使用可能會給他帶來惡果，現在看來似乎應驗了。

如果FBI的指控是正確的，余平安就是OPM攻擊事件中使用的的惡意軟體作者。此外，起訴書還顯示，余平安在向攻擊者提供Sakula之前，就和攻擊者有過交易。

2013年3月初，YU便通過電郵的方式給了嫌疑人兩個惡意軟體樣本，「ADJESUS」和「hkdoor」。雖然FBI沒有完成對前者的破解，但源碼記錄中顯示了這款惡意軟體曾在一個滲透測試工具網站(penelab.com)上公開銷售。而第二款惡意軟體的部分代碼也表明這款工具曾在penelab被名為在「Fangshou」的買家買走。許多證據都表明，余平安運營著penelab.com，而嫌疑人則在當時用「Fangshou」的昵稱購買過余平安的惡意軟體。

【推薦閱讀】