E安全6月22日訊 近日，美國網絡安全公司賽門鐵克（Symantec）稱，疑似中國的黑客組織 Thrip 已經滲透到了美國和東南亞的衛星運營商、防務承包商及電信公司。賽門鐵克表示，這類入侵行為可攔截軍事和民用通信，屬于國家間諜活動。

賽門鐵克發現Thrip組織黑客活動

賽門鐵克對媒體宣稱已將黑客從被感染系統中驅逐出去。該公司技術總監塔庫爾（Vikram Thakur）表示，黑客進入了控制衛星的計算機，可能會改變軌道裝置的位置并破壞數據，但目前尚無法確定黑客所采取的通信方式。

賽門鐵克在一份聲明中表示，該公司從2013年開始追蹤 Thrip 這個位于中國的黑客間諜組織，該組織沉寂了幾年直到最近一年活躍起來，2018年1月該公司利用基于人工智能（AI）的工具發現了一起入侵事件——黑客對美國和東南亞國家的衛星通訊、電信、地理太空拍攝成像服務和軍事系統進行網絡攻擊，賽門鐵克認為此次事件與 Thrip 黑客組織有關。

Thrip黑客組織戰術對比

2018年6月20日，賽門鐵克發布了“間諜組織Thrip 攻擊衛星、電信及防務公司“的威脅情報。在這份威脅情報中賽門鐵克表示，與剛被發現的時候相比，Thrip現在不僅改變了戰術，還擴大了其使用工具。

在2017年的攻擊中，該組織使用的：

工具包括 PsExec、PowerShell、Mimikatz、WinSCP、LogMeIn；

自定義惡意軟件包括Trojan.Rikamanu、Infostealer.Catchamas、Trojan.Mycicil、Backdoor.Spedear 及 Trojan.Syndicasec 等。

在該組織2017年的攻擊中，該組織已經摒棄了此前依靠自定義惡意軟件進行攻擊的套路，而是切換成混合自定義惡意軟件和利用” living off the land”（靠山吃山，靠水吃水）的戰術進行攻擊。

據路透社報道， Thrip 黑客組織開發了新工具，并使用了更多可廣泛獲取的程序，目前尚不清楚該組織如何攻破系統。Thrip 過去曾使用被感染的電子郵件實施入侵，但這次他們并未感染大部分用戶的電腦，而是在服務器中移動，因此不易被發現。

外媒稱，賽門鐵克并未提到中國政府，但該公司表示這些攻擊的啟動平臺源于中國的三臺計算機。賽門鐵克目前已把相關信息提供給美國聯邦調查局（FBI）和國土安全部（DHS）以及亞洲的防務部門。