（阿姆斯特丹19日讯）研究人员称，一个被外界认为处于蛰伏状态、与中国政府有关联的骇客组织，过去两年开始悄悄瞄准公司和政府机构，在窃取密码并设法绕过双重身分验证之后收集数据。

总部位于荷兰的安全公司Fox-IT在周四发布的一份报告中称，这个骇客组织的攻击范围已经扩展到包括美国、英国、法国、德国和意大利在内的10个国家。

该公司表示，这些中国骇客在全球开展间谍活动，针对的行业包括航空、建筑、金融、医疗保健、保险、博彩和能源。

研究人员指出，这些骇客可能隶属于一个被称作“APT20”的组织，并表示他们“高度相信这是一个中国的组织，而且很有可能为支持中国政府的利益工作。”

2009至2014年间，APT20（又名Violin Panda、th3bug）与针对大学、军事、医疗保健和电信公司的大规模骇客活动有关。Fox-IT称，该组织沉寂了多年，最近又卷土重来。

数字痕迹

“很多人认为这个组织消失了，或者已经不存在了，” Fox-IT首席安全专家Frank Groenewegen表示。“但是我们发现，它再度在国际上活跃起来，入侵了许多公司。”

中国政府的一位代表没有回复置评请求。

Groenewegen称，Fox-IT在2018年夏季发现该组织疯狂进行骇客活动，并对遭到入侵的计算机系统进行了分析。基于最初的一些发现，Fox-IT的研究人员得以通过追踪数字痕迹，发现了几十起应该是同一组织所为的类似攻击。Fox-IT称，巴西、墨西哥、葡萄牙和西班牙也遭到了攻击。

Groenewegen说，APT20在中国境内至少也攻击了一个目标，是一家半导体公司，但他拒绝透露被攻击公司和组织的名称。他表示，Fox-IT正在与其中一些合作，帮助清理它们的系统，并已通知其他遭入侵的对象。

这些骇客通常利用公司或政府机构服务器上的漏洞来入侵系统。根据Fox-IT的报告，之后他们会进一步渗透，找到具有特殊权限访问计算机网络中最敏感内容的人员（通常是系统管理员）。

肆意妄为

骇客会在系统管理员的计算机上植入键盘记录软件，该软件可以记录键盘敲击情况并泄露密码。Fox-IT称，该组织还至少在一起攻击活动中破解了RSA SecurID双重身分认证系统，复制了代码。

RSA Security未回复置评请求。

Fox-IT称，这些骇客掩盖了自己的踪迹。他们会例行删除从受感染计算机上窃取数据的工具。但是偶尔他们也会出纰漏。Fox-IT将监视技术置入一个受害者的网络，收集到的数据显示骇客当时在使用语言设置为中文的浏览器。

在执法机构的帮助下，Fox-IT从骇客的活动追踪到了该组织购买的一个服务器。这些骇客用比特币付款，提供了假的信息、一个英国的电话号码和在美国路易斯安那州Lafayette的一个地址。但他们用简体中文输入了部分地址。

还有时间问题。Fox-IT的安全专家彻夜追踪这些骇客，发现他们从荷兰时间大约凌晨3点开始活跃，然后持续8到10个小时。这表明他们在中国时区活动，比荷兰要早7个小时。

也许最引人注目是骇客发现他们被“抓到”之后的举动。Fox-IT把他们挡在了被入侵的一个网络之外，看着他们敲击了一连串的指令来尝试重新获得对计算机的访问权限。

在发现自己入侵不了之后，其中一名显然是义愤填膺的骇客在键盘上敲了“wocao”这个在中文中骂人的词。