微软称,自2016年以来,它就在追踪被称为“镍”或“APT15”的黑客组织的活动。 JEENAH MOON FOR THE NEW YORK TIMES
微软周一表示,为了阻止一个中国黑客组织的情报收集活动,它已从对方手中夺取了42个网站。
微软在一篇新闻稿中表示,弗吉尼亚州的一家联邦法院已经批准了微软的请求,允许其数字犯罪部门接管这些位于美国的网站,它们由一个被称为“镍”或“APT15”的黑客组织运营。微软正在对这些网站进行流量重新定向,以确保微软服务器的安全,“帮助我们保护已经受害和即将受害的用户,同时了解更多关于‘镍’组织的活动”。
微软表示,自2016年以来,它一直在追踪“镍”组织,并发现了其“高度复杂”的攻击是为了神不知鬼不觉地安装恶意软件,便于监控和数据盗窃。
在最近这起案件中,“镍”组织攻击了29个不同国家的组织机构,据信,它利用收集到的信息“从政府机构、智库、大学和人权组织处搜集情报”,微软负责客户安全和信任事务的副总裁汤姆·伯特在新闻稿中表示。微软并未透露遭到攻击的机构名称。
在周一公布的法庭文件中,微软详细解释了黑客是如何通过破坏第三方虚拟专用网络和网络钓鱼——即黑客伪装出一个可信的实体,通常是为了让他人提供密码等信息——等技术来攻击用户的。
微软表示,用这些办法将恶意软件安装到用户电脑上后,“镍”组织会将电脑与被微软查获的恶意网站连接起来。
微软声称,由于该过程涉及入侵电脑、修改微软操作系统,有时还冒充微软,因此“存在微软商标和品牌的滥用,以及展示未经授权的改版Windows系统来欺骗用户的行为”。
法院在裁决中同意签发针对黑客的临时限制令,并将这些注册在弗吉尼亚州的网站移交给微软。
“我们有充分的理由相信,除非本法庭对被告下达约束和限制令,否则被告正在进行的违法行为将造成直接和无法挽回的伤害,”法院在判决书中写道。
微软称,尚未在其产品中发现任何与这些黑客攻击有关的新漏洞。
“我们的干预不能让‘镍’组织停止从事其他黑客活动,但我们相信,我们已经移除了该组织最新一波攻击所依赖的部分关键基础设施,”伯特表示。
微软称,它发现该组织经常将中国存在地缘政治利益的地区作为攻击目标。该公司表示,“镍”组织曾针对西半球、欧洲和非洲等地的外交组织和外交部发起攻击。
网络安全公司Huntress Labs的研究员约翰·哈蒙德表示,微软对这些网站采取的措施是“主动防范网络犯罪”的绝佳范例。
“微软这个举措是个很好的例子,在威胁行为者造成更大损害之前进行先发制人的努力,”哈蒙德说道。他还称,“切断关键基础设施会向攻击者发出一个信号。”
美国网络安全机构曾警告,中国的黑客行为对美国及其盟国构成“重大威胁”。
7月,拜登政府曾指责中国政府应对今年早些时候的一次黑客攻击负责,该攻击导致世界上一些大企业和政府使用的微软电子邮件服务系统遭到入侵。
当时谴责中国的一些欧洲政府指责中国允许黑客在其境内活动,美国和英国则更进一步,称中国政府对此负有直接责任。
中国国家安全部“扶植了一个涉及犯罪的合同黑客生态系统,这些黑客既执行政府支持的行动,也从事以自身经济利益为目的的网络犯罪活动”,国务卿布林肯当时表示。
中国驻美大使馆发言人刘鹏宇当时称,该指控是对中国的众多“无端攻击”之一。