Pawn Storm 是一項又深又廣的持續性網路間諜行動。它曾攻擊北大西洋公約 (NATO) 會員國與美國白宮等政府機關,也曾鎖定烏克蘭和俄羅斯的一些知名政治人物,而且我們相信,歹徒的總部就位於俄羅斯。去年十月趨勢科技即曾經發表過有關 Pawn Storm 的研究報告:Pawn Storm 攻擊行動:利用轉移注意力來躲避偵測 (Operation Pawn Storm: Using Decoys to Evade Detection),自此我們便一直持續監控及追蹤該行動的最新發展。
本文介紹有關該行動的最新發展,同時也提供一些背景資訊讓還不熟悉該行動的讀者進入狀況。
什麼是 Pawn Storm 攻擊行動?
Pawn Storm 是一項至今仍相當活躍的政治經濟網路間諜行動,專門鎖定一些知名機構和人士,從政府機關到媒體名人皆在攻擊之列。其最早的活動出現於2007 年,但直到最近,我們才掌握有關該行動的一些具體資料,包括其攻擊目標和攻擊來源。
它和其他網路間諜團體/行動有何不同之處?
Pawn Storm 在攻擊手法上和其他以政治為動機的駭客團體有明顯不同,例如:
- 使用挾帶 SEDNIT/Sofacy 惡意程式的魚叉式網路釣魚(Phishing)郵件來攻擊 Windows系統,或挾帶 Fysbis 或 X-Agent 惡意程式來攻擊 Linux 系統。其魚叉式網路釣魚郵件有時會使用一些當地的材料或話題來吸引收件人開啟郵件。SEDNIT 是一個擁有後門和資訊竊取行為的惡意程式。
- 假冒企業的 OWA 登入網頁來從事魚叉式網路釣魚郵件攻擊。其某個魚叉式網路釣魚(Phishing)魚郵件的變種會將使用者重導致假冒的 Outlook Web Access (OWA) 登入網頁,藉此竊取使用者的登入帳號密碼。此一攻擊手法的眾多受害者當中,美國國防承包商 ACADEMI (前 Blackwater 公司) 也名列其中。
- 利用自製的 iOS 惡意程式從事間諜活動。此 iOS 惡意程式就是趨勢科技所偵測到的 IOS_XAGENT.A 或 IOS_XAGENT.B,可從受感染的行動裝置竊取各種資訊,例如:訊息、通訊錄、定位資訊、照片,甚至錄音檔。
