在傳統的資安事件中,駭客組織多半來自同一語言或同一國家,以利溝通與協作。然而,此篇文章揭露一樁顛覆既有印象的案例:來自不同國家的駭客,竟共同組成跨國犯罪集團,以政府機關為主要目標展開攻擊。
資安業者 Group-IB 公布,自2023年起活躍的 ShadowSilk 攻擊行動,專門鎖定亞太與中亞國家的政府部門,迄今已造成35個組織受害。這個集團的特點在於結合了兩個使用不同語言的駭客團隊:一方主要使用簡體中文,另一方則採用俄文。Group-IB推測,俄國駭客負責開發惡意程式與初始入侵,中國駭客則著重在後續滲透與資料竊取。
本文也揭示,這些駭客與另一個名為 YoroTrooper 的組織存在基礎設施重疊,並與2024年初 Silent Lynx 的攻擊事件有關。Group-IB與吉爾吉斯的電腦緊急應變團隊(CERT-KG)甚至掌握了伺服器的螢幕截圖,得以追溯駭客使用的語言、鍵盤介面與工具操作,進一步確認他們的來源與行為模式。在攻擊手法上,作者點出駭客透過 FOFA、Shodan 等物聯網搜尋引擎進行偵察,並運用 fscan、gobuster、dirsearch 等工具掃描,再結合 sqlmap、wpscan 攻擊網頁應用程式。使用的漏洞範例包含 Drupal CVE-2018-7600、CVE-2018-7602,以及 WordPress 外掛程式 Automatic 的 CVE-2024-27956,皆為高風險漏洞(CVSS評分9.8)。
至於入侵後的控制與維運,駭客採用的工具相當多元,包括 Metasploit、Cobalt Strike,甚至還有以 Telegram 機器人 為基礎的自製程式與指令碼。更值得注意的是,中國駭客偏好使用一系列自有工具,如 Antsword、Godzilla webshell、WeblogicTool、FinalShell、SNETCracker 等,進一步展現不同國籍駭客之間分工的特色。整體來說,文章揭示了ShadowSilk攻擊行動的跨國協作特性,並透過具體的技術細節,讓讀者理解駭客如何在不同語言背景下協同作業,同時也凸顯出政府機關所面臨的高度資安威脅。
