一名中国人被FBI在洛杉矶国际机场逮捕，并于本周以计算机入侵罪名被起诉。

这名中国人名为余平安（音译），FBI指控其为美国人事管理办公室(OPM)被黑一案的关键团队成员。OPM被入侵的事情，首次曝光于2015年，2000多万人的个背景信息调查文档遭泄，包括560万的指纹记录，以及420万现任美国政府雇员和前雇员的人事档案。此事最终导致，OPM主管凯瑟琳·阿楚雷塔的辞职。

余平安

余平安，中国上海人，来美国参加会议后即被捕。警方指控其售卖OPM入侵案中使用的恶意软件，名为Sakula。该恶意软件在当时非常罕见，因此易于隐蔽并躲过检测。

指控文档称，余平安入侵了分别于美国麻省、亚里桑那、圣地亚哥和洛杉矶的四家公司，使用了不常见的混合恶意软件（主要来自于Sakula家族的攻击代码），通过没有正确打补丁的浏览器渗透这些公司的服务器。

这些攻击于2012年8月逐渐被披露，有家被入侵的公司在其服务器上发现高级恶意软件，然后通知了FBI。分析该恶意软件之后，又查到了第二家被入侵的公司。该恶意软件在2012年2月的某一天，就感染了147个访问公司服务器的人，利用的是当时的IE浏览器零日漏洞(CVE-2012-4969)。在2012年5月至2013年1月之间，该恶意软件还利用了5个零日漏洞。

2013年6月7日，第三家公司发现其网站感染了罕见的Sakula变种。调查发现，感染上述三家公司的恶意软件均与同一个C2服务器通信。2012年12月14日，第四家公司“中标”。感染这家公司的是一个名为PlugX的恶意软件，并带有击键记录组件。这个恶意软件盗取大量的文件，并将其连同击键记录一起发送给控制者。

FBI声称，已经掌握了余平安以GoldSun为网名的通信。至少从2011年4月起，GoldSun就与位于中国的操纵者讨论恶意软件的使用和入侵。余平安使用了goldsun84823714@gmail.com的电子邮件，而恶意软件Sakula的样本其解密密钥为“Goldsunfucker”。

余平安被控提供高级恶意软件给中国的犯罪分子，后者劫持了位于韩国的一个由微软运营的合法域名。余平安曾声称合作伙伴对Sakula的使用可能会给他带来恶果，现在看来似乎应验了。

起诉书（部分）

如果FBI的指控是正确的，余平安就是OPM攻击事件中使用的的恶意软件作者。此外，起诉书还显示，余平安在向攻击者提供Sakula之前，就和攻击者有过交易。

2013年3月初，YU便通过电邮的方式给了嫌疑人两个恶意软件样本，“ADJESUS”和“hkdoor”。虽然FBI没有完成对前者的破解，但源码记录中显示了这款恶意软件曾在一个渗透测试工具网站(penelab.com)上公开销售。而第二款恶意软件的部分代码也表明这款工具曾在penelab被名为在“Fangshou”的买家买走。许多证据都表明，余平安运营着penelab.com，而嫌疑人则在当时用“Fangshou”的昵称购买过余平安的恶意软件。

相关阅读

OPM数据泄露规模已达2570万 主管引咎辞职
美国国会报告：OPM错失的那些预防机会