fbi逮捕一名中国黑客：称其贩卖恶意软件，入侵美国人事管理办公室-尊龙凯时官方旗舰店

近日，美国fbi逮捕了一名中国公民，fbi宣称他参与的黑客组织曾成功入侵美国人事管理办公室（opm）。这名黑客名为于平安（yu pingan，音译），来自中国上海。这周，于平安参加完美国的会议后，在洛杉矶国际机场被feds美国联邦政府抓捕。

opm被渗透事件最早是在2015年发现的，这对于美国政府来说着实十分尴尬。当时攻击者窃取了超过2000万人的文件信息，了解这些人的安全背景——其中包含560万人的指纹信息，还有400万在职及以前政府雇员的个人信息。此次攻击事件让当时的opm负责人下了台。

fbi指控于平安出售攻击opm的sakula恶意软件。这个软件在当时十分罕见，隐蔽性做得非常出色，基本做到了神不知鬼不觉。于平安的诉讼书中提到，他分别入侵了来自马萨诸塞州，亚利桑那州，圣地亚哥，洛杉矶四家美国公司的网站。他被指控使用高级恶意程序（源码来自sakula的攻击母码），通过那些未及时打补丁的浏览器渗透进了这些公司的服务器。

2012年8月攻击才被发现。当时其中一家被攻击的公司在服务器上发现了一种高级恶意软件，他们马上通知了fbi。经过检查发现，另外一家公司的恶意软件与之存在关联——黑客在该公司的网站上植入恶意软件，并通过那些未及时打补丁的浏览器进行蠕虫传播。

而在2012年2月，这个恶意软件通过ie浏览器上的0day漏洞（cve-2012-4969），感染访问公司尊龙凯时官方旗舰店主页的用户，感染人数将近有147人。2012年5月和2013年1月之间，网站之上的恶意软件还利用了5个不同的0day漏洞。直到2013年6月7日，第三家公司的网站又遭遇sakula软件变种攻击。

在上述三起事件中，恶意软件以相同的c&c信号进行通信。最后，2012年9月14日，最后一家公司也被攻击了，这次使用的是plugx恶意软件，其中还包含一个键盘记录器，该软件窃取了大量的文件和键盘记录数据，并发送给黑客。

美国政府表示，他们已经掌握了于平安（网名goldson）和中国黑客组织在2011年8月以来的关于商量如何利用恶意软件进行网络入侵的联系记录。fbi表示于平安使用的邮箱为goldsun84823714@gmail.com，并且还发现sakula恶意程序样本之一的解密密钥“goldsunfucker”，以表明与于平安之间的关联。

于平安还被指控为某个未具名的中国黑客组织提供高级恶意程序，该黑客组织还入侵了微软位于韩国的合法域名。他表示：他的同伙使用sakula对他自己也没有好处，他果然说对了。如果如联邦政府所说，于平安就是开发恶意软件攻击opm的人，那可想而知政府机构的防范能力真是不敢恭维。

近段时间，中国黑客似乎持续在国际舞台上活跃。近期越南媒体报道称，越南大型企业组织遭遇黑客攻击，疑似与中国黑客组织1937cn有关——报道认为此次攻击与2016年越南航空遭遇攻击存在关联。8月初，两个利用cve-2012-0158漏洞的恶意文件提交到virus total。顺着这些线索研究人员发现更多c&c恶意域名。其中某些域名如dcsvn.org从15年起就开始活跃了。