丝台风组织与强大攻击工具链的隐秘关联

一份与丝台风（Silk Typhoon）黑客组织相关的未密封起诉书显示，其成员为与中国政府关系密切的公司工作，构成了更大的承包商生态系统的一部分。

新型攻击工具浮出水面

对中国支持的威胁组织丝台风攻击美国政府及其他目标的新洞察揭示了此前未知的复杂攻击工具，以及攻击者、其雇主公司与中国政府之间的紧密联系。

SentinelLabs 分析了美国司法部本月早些发布的对两名黑客徐泽伟和张宇的起诉书，他们在今天发布的报告中透露，起诉书概述了这两人代表中国国家安全部为两家公司工作。据报告称，这两人据称是臭名昭著的中国威胁行为者丝台风（又名 Hafnium）的一部分，起诉书中的信息展示了中国的承包商生态系统如何在威胁环境中发挥关键作用。

具体而言，研究人员识别了超过10项“高度侵入式取证和数据收集技术”的专利，这些专利由代表丝台风工作的公司（如上海火眼信息科技有限公司）注册，此前并未被识别为该威胁行为者的工具。这些技术提供了未报告的进攻能力，从获取加密端点数据到移动取证以及从网络设备收集数据。

超越威胁组织的视角

这些发现凸显了典型威胁归因中的一个差距，即倾向于识别命名的威胁行为者而非他们受雇的公司，SentinelOne 的中国问题顾问、大西洋理事会全球中国中心的非常驻研究员 Dakota Cary 在 SentinelLabs 观察到，在调查攻击时不应忽视这一点。

在这种情况下，雇佣被起诉黑客的公司是涉及为中华人民共和国进行进攻性黑客攻击的中国承包商层级结构的一部分，他通过电子邮件告诉 Dark Reading。

“上海火眼拥有的能力与观察到的 Hafnium [战术、技术和程序，或 TTPs] 之间的差异强调了将入侵活动映射回组织并非一对一的对应关系，尤其是在中国，”他告诉 Dark Reading。“防御者可能遇到过由上海火眼支持的其他入侵，但从未知道同一家公司既是该入侵的幕后黑手，也是 Hafnium 的幕后黑手。”总体而言，SentinelLabs 发现，防御者可以通过不仅识别攻击背后的个人和团体，还可以识别他们工作的公司、这些公司拥有的能力以及这些能力如何加强与国家实体的合作来获得优势。

揭秘中国“雇佣兵”生态系统

丝台风/Hafnium 是一个臭名昭著的威胁组织，安全研究人员已追踪多年。最近它与美国财政部的入侵事件有关，但也与针对多个行业组织的攻击有关，包括国防承包商、医疗保健、非政府组织、高等教育、律师事务所和政策智库。

2021年，该组织还因利用 Microsoft Exchange Server 中的四个零日漏洞（包括现在臭名昭著的 ProxyLogon）在定向攻击中入侵电子邮件服务器而引起了相当大的关注。

起诉书揭示，中国的承包商生态系统迫使许多公司和个人在入侵活动中合作，这意味着许多中国的高级持续性威胁（APTs）如丝台风可能包含许多不同公司，服务于许多不同客户，Cary 说。

“中国多样化的私营部门进攻生态系统支持广泛的入侵能力，”他告诉 Dark Reading。“将观察到的工具映射回一个集群可能并不真正代表攻击者的真实组织结构。”

重新思考威胁情报

美国司法部的起诉书揭示了中国进攻性黑客组织的层级结构，徐泽伟和张宇在上海国家安全局的指示下工作，同时也为其他公司工作。徐泽伟在上海磐石网络公司工作，而张宇受雇于上海火眼，后者本身正在执行来自国家安全部官员的特定任务。

报告中还提到，层级结构的较低层级还有其他公司，如 i-Soon，其员工士气低落，合同报酬低，经常分包给更大、更好的公司。这些工人可以通过为名为成都404的直接竞争对手工作来晋升，后者业务稳定，在多个办公室工作，并曾是中国最多产的 APT。

威胁情报的新思路

所有这些对威胁情报的意义在于，研究人员应开始将思维从追踪行为集群并将其归因于 ATPs 或其他团体，转向更深入地挖掘雇佣其团体成员的组织及其能力。

Cary 观察到，这可能导致他们发现各种威胁团体和行为者背后尚未发现的联系，这些联系由这些组织提供的攻击工具绑定，从而可能导致更成功的威胁狩猎结果。

“威胁情报分析师应注意从工具使用作为攻击者或其 APTs 之间关系的指标进行转向，”他说。“正如研究所示，支持入侵的公司可能正在向生态系统中的其他行为者提供其工具，导致不完整或误导性的归因。”