SentinelLabs揭露中国隐藏的网络间谍武器库

专利技术揭示高度侵入性能力

根据安全供应商SentinelOne旗下SentinelLabs的报告，中华人民共和国（PRC）多家公司已获得涉及“高度侵入性取证和数据收集技术”的专利。这些技术允许从加密端点数据获取、移动取证到收集网络设备流量等一系列操作。

报告作者Dakota Cary在给CSOonline的电子邮件中表示，从调查结果中获取的最重要新信息是：“中国的合同生态系统迫使许多公司和个人在入侵行动中协作。这意味着许多基于中国的先进持续性威胁（APT）可能实际上包含许多不同公司和不同客户。”他补充道，中国多样化的私营部门进攻生态系统“支持广泛的入侵能力。将观察到的工具映射回某个集群可能并不代表攻击者的真实组织结构。”

司法部起诉揭示黑客组织层级体系

在这份15页的报告中，Cary指出，本月早些时候，美国司法部（DoJ）发布了对两名黑客徐泽伟（Xu Zewei）和张宇（Zhang Yu）的起诉书，指控他们代表中国国家安全部（MSS）工作。Cary表示，这“为PRC的合同生态系统提供了新的视角。起诉书概述徐和张为两家此前未被公开归因于Hafnium（又名Silk Typhoon）威胁行为者组织的公司工作。”

徐于7月3日在意大利被捕，面临引渡到美国，他曾与一家名为上海Powerock的公司有关联；而仍在逃的张宇则与上海Firetech有关联。

Cary在报告中表示：“DoJ坚持认为[这两人]在‘指示’下为上海市国家安全局（SSSB）工作……这种SSSB与这两家公司之间的‘指示’关系勾勒出中国进攻性黑客组织的分层体系。”

专利技术细节与监控能力

此外，DoJ起诉书指出：“对徐的指控公告是最新描述PRC利用中国广泛的私营公司和承包商网络进行黑客攻击和信息窃取，以掩盖PRC政府参与的方式。”

Cary表示，SentinelLabs已识别出10多项在PRC申请的专利，这些专利由美国起诉书中提到的代表Hafnium威胁行为者组织工作的公司注册。这些包括“远程自动化证据收集软件、苹果电脑综合证据收集软件、路由器智能证据收集软件和计算机场景快速证据收集软件。”

Cary称，上海Firetech在SSSB的指示下进行进攻性黑客活动。“该公司还拥有多种进攻性工具的专利，表明其有能力监控个人家庭，如智能家电分析平台、远程家庭计算机网络智能化控制软件和智能家电证据收集软件，这些可能支持对海外个人的监视。其他情报机构，如CIA，已知拥有类似能力，”他写道。

行业专家反应

谷歌威胁情报小组副首席分析师Luke McNamara表示，报告发现“与我们对中国国家支持的网络间谍活动性质的理解一致，并进一步展示了这些企业在支持来自中国归因行动威胁活动更大生态系统中的作用，其规模和数量不断增加。”

Info-Tech Research Group数字基础设施实践负责人John Annand表示：“武器系统就是武器系统，无论制造手段或材料如何。我们真的如此惊讶吗？除了西方军事工业综合体之外的某些实体会专利技术，其主要目的（至少在他们看来）对其自卫利益至关重要？”

随着民族国家通过替代手段推进自己的议程（政治、商业或其他），他表示，“全球领导人有责任调整方法以保护本国公民的商业和政治利益。”

然而，这些专利的申请让加拿大安全意识培训提供商Beauceron Security负责人David Shipley感到困惑。“老实说，我不明白，”他说。“这感觉太愚蠢了。专利制度的整个要点是通过要求发明人披露发明的独特元素来鼓励创新，它鼓励他人开发更好的流程、设计和工具。”

Shipley表示：“本质上，通过专利化他们的方法，这些公司正在将他们的想法蓝图交给他人。同时，他们向平台提供商展示了足够详细的信息，以便他们可以修复这些问题。如果他们担心知识产权保护，将这些作为商业秘密似乎是更聪明的知识产权策略。但正如我们行业的人经常说的，‘操作安全（OpSec）很难。’当你专利化并发布你的黑客技术时更是如此。”