分類: 資安名詞/什麼是?/ 何謂?

趨勢科技的研究人員在最新一份有關 Pawn Storm (別名 APT28、Fancy Bear、Strontium 等等) 的報告當中，清楚披露了該網路間諜團體的活動範圍及規模。但更值得關注的是他們所使用伎倆。根據我們的觀察，其行動最遠可追溯至 17 年前，主要攻擊目標為政府、軍事、媒體以及政治機構，足跡遍布全球。此外，報告中也指出近兩年來該團體已開始將重心移轉至網路宣傳，而且光 2016 年就成長了 400%。

Pawn Storm 的發展史 

根據我們的研究，Pawn Storm 行動最遠可追溯至 2004 年，但趨勢科技的第一份相關報告 (同時也是業界發表的第一份有關該團體的報告) 卻是在 2014 年才出爐。不過從那時起，人們就開始知道該團體專門攻擊全球可能危害俄羅斯利益的大小機構。該團體透過情報的蒐集與精密的網路釣魚（Phishing）伎倆，成功襲擊了全球各類目標。

儘管該團體在美國大選期間出盡鋒頭，但其實他們過去三年來成功入侵了非常多機構：

• 2014 年 6 月 – 成功入侵波蘭政府網站。
• 2014 年 9 月 – 攻擊美國某大型核燃料經銷商，假冒該廠商的 Outlook Web Access (OWA) 登入網頁成功騙取其員工的帳號密碼。此外，也利用假冒的 OWA 登入網頁攻擊美國及歐洲的國防軍事機構。
• 2014 年 12 月 – 利用該月稍早入侵的美國某軍事機構聯絡窗口取得的帳號攻擊了美國某大型報社 55 名員工的公司帳號。
• 2015 年 1 月 – 利用假冒 Gmail 名義的網路釣魚攻擊三位高人氣 YouTube 部落客。這些攻擊都發生在部落客於白宮訪問美國總統歐巴馬四天之後。
• 2015 年 2 月 – 利用惡意的 iOS 應用程式從事間諜活動。此外也利用假冒的 OWA 網站攻擊北大西洋公約組織 (NATO) 駐烏克蘭聯絡官。
• 2015 年 4 月 – 攻擊 NATO 會員國及法國 TV5Monde 電視台，造成該電視台多個全球頻道中斷。
• 2015 年 7 月 – 趨勢科技發現該團體利用一個新的 Java 零時差漏洞發動攻擊。
• 2015 年 7 月 – 該團體將自己的某個幕後操縱 (C&C) 伺服器導向趨勢科技的 IP 位址。
• 2015 年 8 月 – 爆發國內間諜行動，目標鎖定一些俄羅斯異議份子、媒體、藝術家、軍事人員，甚至還有美國資深官員。
• 2015 年 9 月 – 架設假冒荷蘭安全局 (Dutch Safety Board) 的 SFTP (Secure File Transfer Protocol) 檔案傳輸伺服器，並製作假冒的 OWA 伺服器來攻擊荷蘭安全局負責馬航 MH17 空難事件的調查人員。
• 2015 年 10 月 – 趨勢科技發現歹徒利用 Adobe Flash 零時差漏洞搭配魚叉式網路釣魚郵件攻擊多個國家的外交部。

 

2016 年 Pawn Storm 仍繼續從事網路間諜行動，但手法卻出現兩項重大改變。雖然歹徒依舊持續不斷騙取重要鎖定目標的帳號密碼，而且次數更加頻繁，行動也更加堅決，但歹徒卻開始朝網路宣傳發展。根據該集團使用的網路釣魚網域可以看出，其主要對象已變成了政黨與媒體。 繼續閱讀