中国银行要求两家西方公司使用隐藏后门的税务软件

网络安全公司Trustwave在今天发布的一份报告中说，一家中资银行迫使至少两家西方公司在他们的系统上安装带有恶意软件的税务软件。

这两家公司是一家总部位于英国的技术/软件供应商和一家大型金融机构，两家公司最近都在中国开设了办事处。

Trustwave今天表示，与我们客户的讨论显示，[该恶意软件]是他们银行所需的税务软件的一部分。

他们通知我们，他们当地的中资银行在中国开业后，要求他们安装爱思诺公司金税部生产的智能税务软件包，用于缴纳地方税。

为这家英国软件供应商提供网络安全服务的Trustwave表示，它是在观察到源自其客户网络的可疑网络请求后发现了恶意软件。

在今天发布的一份报告中，Trustwave表示，它分析了该行的税务软件。Turstwave表示，该软件的工作方式与广告宣传的一样，允许客户缴纳地方税，但它也安装了一个隐藏的后门。

这家安全公司表示，这个代号为GoldenSpy的Trustwave后门允许远程攻击者连接到受感染的系统并运行Windows命令，或者上传和安装其他软件。Trustwave代号为GoldenSpy，并表示它以系统级访问权限运行。

但是许多类型的软件都有远程访问功能来调试服务。然而，Trustwave表示，它也发现了恶意软件中更常见的功能，这些功能在其他任何地方都没有合法用途。例如：

GoldenSpy安装了两个完全相同的版本，都是持久的自动启动服务。如果其中任何一个停止运行，它将重新生成其对应的文件。此外，它还利用一个exeProtector模块来监控自身任一迭代的删除。如果被删除，它将下载并执行新版本。*有效地，这种三层保护使得从受感染的系统中删除此文件变得极其困难。

智能税务软件的卸载功能不会卸载GoldenSpy。它让GoldenSpy作为进入环境的敞开后门运行，即使在税务软件完全删除之后也是如此。

直到税务软件安装过程完成整整两个小时后，才会下载和安装GoldenSpy。当它最终下载并安装时，它会静默进行，不会在系统上发出任何通知。这种长时间的延误是非常不寻常的，是一种躲避受害者注意的方法。

GoldenSpy不联系税务软件的网络基础设施(i-xinno[.]com)，而是联系ningzhidata[.]com，该域名是已知的托管其他版本的GoldenSpy恶意软件的域名。在前三次尝试联系其指挥和控制服务器后，它会随机化信标时间。这是一种已知的方法，可以避免使用旨在识别信标恶意软件的网络安全技术。

GoldenSpy以系统级权限运行，这使得它非常危险，并且能够在系统上执行任何软件。这包括用于执行侦察、创建新用户、提升权限等的其他恶意软件或Windows管理工具。

但是，尽管发现了Aisino智能税务软件内部隐藏的后门，Trustwave仍无法确定它是如何到达那里的。

Trustwave表示，它无法确定后门是由中国政府黑客开发的，是由该银行的一名流氓员工秘密添加的，还是由Aisino Corporation的某个人创建的。

目前还不清楚，中国情报机构是否迫使世行或爱思诺公司将恶意软件添加到其官方软件中，以便对外国公司进行间谍活动，或者这是否是一起黑客纯粹对自己的经济利益感兴趣的事件。

但是，尽管一些问题仍未得到回答，但与此同时，Trustwave正在为在中国做生意的任何其他安装了相同软件的公司敲响警钟。

Trustwave表示：我们认为，每一家在中国运营或使用Aisino智能税务软件的公司都应将此事件视为潜在威胁，并应采取威胁追踪、遏制和补救对策，正如我们的技术报告中所概述的那样。

Trustwave没有说出这家银行的名字。ZDNet已向Aisino Corporation发出请求，要求对Trustwave的调查结果发表评论，如果软件供应商决定回复，我们将进行更新。