信用:DC Studio / Shutterstock
美国财政部外资控制办公室 (OFAC) 对一家位于北京的网络安全公司实施制裁,因其在与中国网络间谍组织 Flax Typhoon 相关的攻击中发挥了作用。
这家公司名为 Integrity Technology GroupIntegrity Tech,被指控在 2022 年夏季至 2023 年秋季期间,提供 Flax Typhoon 在其操作中所需的计算机基础设施。
然而,根据联邦调查局FBI、国家安全局NSA以及来自加拿大、澳大利亚和英国的情报机构联合发布的报告,该公司还维护着一个由超过 260000 台受感染 IoT 设备组成的 僵尸网络。
“Integrity Technology GroupIntegrity Tech是一家与中国政府有联系的中国公司,”相关机构在其 报告 中表示。“Integrity Tech 使用中国联通北京省网络的 IP 地址来控制和管理本次报告中提到的僵尸网络。除了管理僵尸网络,这些相同的 IP 地址还被用来访问其他对美国受害者进行计算机入侵活动的运营基础设施。”
这些恶意活动包括对美国关键基础设施领域的组织进行攻击,均归咎于 Flax Typhoon,这是一支自 2021 年起活跃的中国国家支持的网络间谍组,也被称为 RedJuliett 和 Ethereal Panda。
OFAC 的制裁 冻结了所有在美国或由美国人士控制的 Integrity Tech 的资产。同时,其持有超过 50 的实体资产也被冻结,所有个人和组织均被禁止与他们或该中国公司进行商业或金融交易。
Flax Typhoon 的僵尸网络至少可以追溯到 2021 年,它基于 Mirai,这是一种针对基于 Linux 的 IoT 设备的恶意软件家族,其代码是公开可得的。在 2016 年之前,Mirai 曾是最大的 IoT 僵尸网络之一,负责了一些历史上最大规模的 DDoS 攻击。自其创造者抛弃该项目并将其代码发布到网上后,许多威胁组织都基于此开发了自己的僵尸网络变体。
Flax Typhoon 的僵尸网络利用已知漏洞,对路由器、防火墙、IP 摄像头、数字视频录像机、网络附属存储设备和其他基于 Linux 的服务器进行攻击。截止到 6 月,该僵尸网络拥有超过 260000 个活跃节点,但其控制服务器数据库上列出了超过 12 百万台受影响设备,包括 385000 台位于美国的设备。
“管理服务器上托管了一款名为 Sparrow 的应用程序,允许用户与该僵尸网络进行交互,”情报机构在其 9 月的报告中表示。“攻击者使用特定的 IP 地址注册在中国联通北京省网络来访问该应用程序,这些 IP 地址与 Flax Typhoon 先前用于对美国目标进行计算机入侵活动的系统相同。”
白鲸加速器试用Flax Typhoon 的僵尸网络可以用于发起 DDoS 攻击,这也是 Mir
