藏族主要网站遭到入侵

西藏中央政府网站上的代码针对说汉语的游客,并在他们的系统上安装了后门

卡巴斯基实验室的研究人员周一报道说 西藏中央政府(CTA)网站遭到入侵,并指出攻击者对受害者的选择很高。

卡巴斯基公司的库尔特·鲍姆加特纳(Kurt Baumgartner)在公司博客上写道,该攻击正好是针对性的,因为该域上附加的嵌入式iframe将访问者重定向到该网站的中文版,从而将其重定向到Java漏洞利用程序,从而为系统提供了后门。

他写道:“目前看来,受此代码攻击的系统很少位于中国和美国,尽管可能还会更多。”

根据包姆加特纳(Baumgartner)的说法,正在利用Java漏洞进行归档,删除和执行后门程序。进一步检查攻击过程中交付的代码,可以发现APT相关工具链的迹象,这表明CTA的妥协不是被动攻击,而是蓄意攻击。考虑到选择性定位后,这一点将得到巩固。

“ Java漏洞利用程序似乎可以攻击较旧的CVE-2012-4681漏洞,这有点令人惊讶,但是它被演员分发了原始的CVE-2012-4681 0天Gondzz.class和Gondvv.class来使用。去年八月。”鲍姆加特纳指出。

“这位威胁演员至少已经悄悄地进行了数种水坑袭击,至少已经开展了两年,而且还针对包括藏族在内的各种目标进行了标准的鱼叉式钓鱼活动。”

根据卡巴斯基的记录,自2011年底以来,在CTA网站上发动攻击的幕后演员一直很活跃。

4月,另一个藏族组织“藏族之家基金会” 他们的网站遭到了针对藏族激进分子的攻击。据卡巴斯基的研究人员称,这种攻击利用了恶意Flash文件,这些文件是由针对东南亚游戏公司的早期活动中窃取的证书签名的。

二月里, 西藏维权人士通过推特成为攻击目标 并敦促自由西藏运动领导人追踪恶意链接。这些链接导致网站托管漏洞,这些漏洞以前曾用于攻击航空航天公司和工资单处理公司

版权 © 2013 IDG通讯 ,Inc.