专家认为，中国黑客是几起针对以色列的袭击的幕后黑手

至少自2019年以来，一个中国网络间谍组织与一系列针对以色列政府机构、IT提供商和电信公司的入侵活动有关，黑客伪装成伊朗行为者，误导法医分析。

FireEye的Mandiant威胁情报部门将此次行动归因于其追踪的一家名为“UNC215”的运营商，这是一家中国间谍行动，据信早在2014年就挑出了世界各地的组织，将该组织与“低信心”的高级持续威胁（APT）联系在一起，后者被广泛称为APT27、熊猫使者、，或者铁虎。

FireEye的以色列和美国威胁英特尔团队在今天发布的一份报告中表示：“UNC215已经损害了政府、技术、电信、国防、金融、娱乐和医疗保健领域的组织。”。

“该组织的目标是与北京的金融、外交和战略目标密切相关的数据和组织，”调查结果反映出黑客组织对国防相关机密的强烈兴趣。

据称，集体发起的早期攻击利用了微软SharePoint漏洞（CVE-2019-0604）作为渗透政府和学术网络的垫脚石，在中东和中亚地区部署网络外壳和集中有效载荷。FOCUSFJORD（也称为HyperSSL和Sysupdate）于2018年首次被NCC集团描述，它是一个后门，是熊猫使者演员使用的工具库的一部分。

在获得初始立足点后，敌方将按照既定模式进行凭证收集和内部侦察，以识别目标网络中的关键系统，在进行横向移动活动之前，安装一个名为HyperBro的定制植入物，该植入物具有屏幕捕捉和键盘记录等功能。

攻击的每个阶段都有显著的努力，通过移除受损机器上残留的任何法医文物痕迹来阻碍检测，同时根据安全供应商的报告改进FOCUSFJORD后门，通过使用其他受害者网络代理其指挥与控制指令，隐藏指挥与控制（C2）基础设施，甚至加入虚假标志，试图误导归属。

为此，该组织部署了一个名为SEASHARPEE的定制网络外壳，该外壳至少三次与伊朗APT组织关联，甚至使用了包含对伊朗的引用的文件路径，并以阿拉伯语显示错误消息，可能会混淆活动的来源。

此外，该网络安全公司指出，在2019年针对以色列政府网络的一次行动中，UNC215通过远程桌面协议（RDP）连接从可信的第三方获得了对主要目标的访问权限，使用窃取的凭据，滥用它部署并远程执行FOCUSFJORD恶意软件。

“活动[……]研究表明，中国在中东的战略利益是一致的。这场网络间谍活动正发生在中国与“一带一路”倡议（BRI）有关的数十亿美元投资的背景下，以及以色列对其强大的科技领域的兴趣。"

“中国在“一带一路”沿线开展了多次入侵行动，以监控潜在的障碍—；政治、经济和安全—；我们预计UNC215将在近期和中期继续针对参与以色列和大中东这些关键基础设施项目的政府和组织。”这些团队补充道。