圖片來源: 

Photo by Gary Campbell-Hall on https://www.flickr.com/photos/garyullah/15046080748 (CC BY 2.0)

研究機構指出,在今年9月中國與梵諦岡進行新的協議前,中國駭客組織曾對天主教會組織發動攻擊,連梵諦岡也不例外。

名為Insikt Group的機構利用Recorded Future的網路流量分析及RAT控制器偵測工具,針對自有網路及第三方蒐集到資料源進行分析,發現一個名為RedDelta的中國駭客組織5月起,就對梵諦岡和天主教香港教區等相關組織發動攻擊。此外連駐港宗座代表(Hong Kong Study Mission to China),及義大利的天主教社團宗座外方傳教會也成為目標。駐港宗座代表的領袖被視為教宗在中國的代表,也是北京和梵諦岡間的關係樞紐。

Insikt Group分析,從5月中一直到最少7月21日,梵諦岡的主機送出多道PlugX向外部C&C伺服器的連線,也辨識出Poison Ivy、Cobalt Strike Beacon等C&C伺服器也和教廷主機連線。另外還有一則冒充梵諦岡向駐港宗座代表發送的釣魚郵件,目的在感染PlugX。

梵諦岡與中國預定今年9月,將更新雙方於2018年簽定的歷史性協議。當年的主教任命協議讓中國對當地天主教具更大管轄權,包括官方得以任命主教。

報告指出,RedDelta對教廷的網路攻擊是為了取得必要資訊,作為9月雙方更新協議的準備。而駭入香港天主教區教會則可蒐集香港教區和教廷關係,以及教區在香港近年泛民主運動、以及香港版國安法等議題的立場。

研究指出,RedDelta和另一個中國駭客組織Mustang Panda的工具及手法某些地方很相似,例如它們使用的網路架構重疊,類似感染手法,以及都使用PlugX、Poison Ivy和Cobalt Strike等惡意程式。但是兩者仍有部份差異,像是RedDelta使用的PlugX的C&C連線加密法和組態加密機制不同於前者。此外,RedDelta使用的惡意程式感染鏈並未像Mustang Panda被公開。

Insikt Group指出,除了天主教會外,這個中國駭客組織也攻擊印度執法機關和政府單位,以及一家印尼政府機構。

紐約時報首先報導此事。梵諦岡未對此評論。

今年以來中國駭客組織多次對天主教會進行攻擊。本月另一名研究人員揭露以包含PlugX的網釣郵件攻擊鎖定香港天主教會人士,但推測該項行動是由多次行動的Mustang Panda所為。


Advertisement

更多 iThome相關內容