美國國土安全部於9月14日發出公告，指出與中國政府有關之駭客族群，利用Citrix、微軟Exchange Server、F5及Pulse VPN等多項產品漏洞，攻擊美國政府單位。

 

美國國土安全部之網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)指出，過去12個月觀察到由中國國家安全部(Ministry of State Security)指揮之網路駭客，利用開源與市售攻擊工具，策動對美國政府之網路攻擊行動。

 

在開源工具方面，中國駭客利用Shodan搜尋引擎掃瞄存在漏洞但未修補之網路設備，並使用公開弱點資料庫，如CVE與NVD資料庫列出之漏洞作為攻擊依據。此外，中國駭客亦使用市售工具，如利用Cobalt Strike滲透測試工具輔助鍵盤側錄、檔案注入等攻擊活動，以China Chopper網頁應用Webshell程式，並以Mimikatz蒐集受駭者之登入密碼，以利後續進行提權等攻擊行為。美國政府某單位即被植入China Chopper，可用於上傳檔案與暴力破解密碼。

 

CISA指出，駭客攻擊活動之所以會成功，多數原因係因受駭者網路組態不當，或修補管理方案不健全，因此駭客可掌握並利用已知漏洞與工具，成功進行攻擊活動。CISA與FBI建議政府單位應定期稽核組態與修補管理方案，以防堵新型態威脅。

資料來源：

https://us-cert.cisa.gov/ncas/alerts/aa20-258a

Chinese intelligence-linked hackers are exploiting known flaws to target Washington, US says

https://www.zdnet.com/article/cisa-chinese-state-hackers-are-exploiting-f5-citrix-pulse-secure-and-exchange-bugs/