Skip to main content

< APT 攻擊>專門從事經濟和政治間諜的Pawn Storm活動激增

Pawn Storm活動激增,鎖定北大西洋公約組織 (NATO) 與美國白宮

一直長期活躍的 Pawn Storm「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)行動在新的一年突然爆炸性成長,導入了新的基礎架構,同時也開始鎖定北大西洋公約組織 (NATO) 會員國,甚至是美國白宮。這是根據趨勢科技持續研究其背後駭客團體所得到的最新情報,同時也是我們眾所周知的 2014 年 10 月份 Pawn Storm 研究報告的後續補充。

通用 security

 

Pawn Storm 攻擊行動:背景

Pawn Storm 是一項專門從事經濟和政治間諜活動的攻擊行動,其目標相當廣泛,包括:軍事、政府、國防產業、媒體等等。

該團體是一群處心積慮的駭客,至少從 2007 年開始即活躍至今,其犯案模式非常固定。我們為所取的名稱,是根據歹徒聯合搭配多種工具和手法來襲擊單一目標的作法,與西洋棋中的 Pawn Storm (小兵聯合攻擊) 策略如出一轍。

該團體運用了三種非常容易辨別的攻擊手法。第一種是發送含有惡意 Microsoft® Office 文件的網路釣魚郵件,文件當中暗藏專門竊取資料的 SEDNIT/Sofacy 惡意程式;第二種是在波蘭政府的一些網站上植入某些漏洞攻擊程式,讓瀏覽者感染前述的惡意程式;最後一種則是利用網路釣魚電子郵件來將使用者重導至假冒的 Microsoft Outlook Web Access (OWA) 登入網頁。

Pawn Storm 主要攻擊對象為美國及其盟邦的軍事單位、政府機關和媒體機構。我們判斷該團體也曾攻擊俄羅斯異議團體以及那些和克里姆林宮作對的團體,此外,烏克蘭激進團體與軍事單位也在攻擊之列。因此有人揣測該團體可能跟俄羅斯政府有所關聯。

今年二月,趨勢科技觀察到 Pawn Storm 又有新的動作,並發現一個專門攻擊 Apple 使用者的 iOS 間諜程式

Pawn Storm 的最新發展

該團體在 2015 年第一季動作頻頻,最值得關注的是他們設置了數十個漏洞攻擊網址與十幾台新的幕後操縱 (C&C) 伺服器,專門鎖定北大西洋公約組織會員國以及歐洲、亞洲與中東國家的政府單位。

此外我們也發現 Pawn Storm 還會稍微改變手法,發送精心特製的電子郵件來誘騙使用者點選某個惡意連結。

圖 1:網路釣魚郵件範例

其中一個例子的電子郵件主旨是有關歐盟發起的「南部天然氣走廊」(Southern Gas Corridor) 計劃,該計劃的目標就是希望能減少對俄羅斯天然氣的仰賴。除此之外,還有一些和政治地緣相關的其他郵件主旨,例如:俄羅斯和烏克蘭之間的衝突,以及歐洲安全與合作組織 (OSCE) 的「開放天空諮詢委員會」 (Open Skies Consultative Commission)。

這些電子郵件通常內含一個連結到看似正常的新聞網站。一旦受害者點選了該連結,瀏覽器就會執行一段系統識別程序碼,偷偷將受害者的作業系統版本、時區、瀏覽器版本以及安裝的外掛程式等等資訊傳送給歹徒。當系統滿足某些特定條件時,這個假冒的新聞網站就會顯示一個使用者必須安裝 HTML5 外掛程式才能檢視該網站的訊息。但此外掛程式其實是 X-Agent 或 Fysbis 間諜程式的變種 (若受害者的系統是 Linux) 或是 Sednit 惡意程式 (若受害者的系統是 Windows)。

圖 2:惡意 HTML5 外掛程式安裝訊息畫面

老掉牙的手法

Pawn Storm 駭客團體目前仍仰賴網路釣魚的手法。事實上,在 2014 年秋季,他們曾經假冒某個美國大型企業 OWA 網站郵件登入網頁,該公司專門販售發電廠所需的核燃料。

圖 3:假冒的美國核燃料公司企業網站電子郵件登入網頁

我們不難想像若歹徒成功入侵這樣的企業將造成多麼嚴重的後果。除此之外還有一些其他的假 OWA 伺服器,包括專門鎖定兩個歐洲北約會員國軍事單位的新伺服器 。今年二月,我們也發現了假冒烏克蘭北約聯絡處網站郵件系統的網頁。

美國白宮遭到襲擊

趨勢科技已發現證據顯示該團體也正虎視眈耽地看著美國白宮。他們鎖定了三位熱門的 YouTube 部落客,在 2015 年 1 月 26 日發動 Gmail 網路釣魚郵件攻擊,就在這些部落客在白宮訪問了歐巴馬總統四天之後。這是一個典型的跳島式攻擊技巧,駭客攻擊的不是最終目標,而是與最終目標有聯絡且安全防禦較弱的企業或個人。

另一個類似的案例,一家美國大型新聞機構的知名軍事發言人的個人信箱在 2014 年 12 月也遭到同樣的攻擊,導致他很可能洩漏了自己的帳號密碼。稍晚在同一個月,Pawn Storm 攻擊了該新聞機構大約 55 名員工的公司帳號。

企業必須對這類攻擊隨時保持高度警戒,因為 Pawn Storm 駭客團體會大費周章地讓其電子郵件看起來幾可亂真。其是美國、歐洲、亞洲國家的軍事及政府單位必須設置適當的進階網路安全工具來封鎖網路釣魚郵件,防止惡意程式下載,並且提升使用者的教育訓練來降低攻擊的危險。

原文出處:Operation Pawn Storm Ramps Up its Activities; Targets NATO, White House
作者:Feike Hacquebord (資深威脅研究員)

 

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接