Pawn Storm 這個活躍已久的網路間諜行動為何看上俄羅斯的龐克搖滾樂團?的確,Pussy Riot (暴動小貓) 是個具爭議性的樂團,這個由女性主義者成立的樂團,其成員不久前才因觸犯基督教東正教會和俄羅斯教長制度的言論而入獄。但駭客為何會對她們有興趣?她們和其他被攻擊的對象有何關聯?
今年年初,我們曾經報導過 Pawn Storm 攻擊行動攻擊了北大西洋公約組織 (NATO) 會員國、美國白宮以及德國國會。不久前,他們又鎖定了駐紮在多個國家的大使館和軍事官員。Pawn Storm 的攻擊目標多為俄羅斯境外的政治單位,但根據趨勢科技的分析發現,實際上仍可有不少目標其實是位於該國境內。
俄羅斯境內的間諜活動
Pawn Storm 行動幕後的俄羅斯間諜顯然對國內外是一視同仁,他們甚至也監控自己的人民。例如,針對俄羅斯國民的帳號登入資訊網路釣行動,就是一個本國境內間諜行動的案例。圖 1 顯示該行動攻擊目標在不同產業的分布情形。
圖 1:俄羅斯境內攻擊目標的產業/市場分布。
俄羅斯境內許多和平主義行動團體、部落客以及政治人物,都是他們的攻擊目標。以下是各產業一些重要目標的範例:
| 政治人物 | 前俄羅斯總理,以及統一俄羅斯黨 (United Russia,目前俄羅斯執政黨) 的一位重要成員 |
| 藝術家 | Pussy Riot 樂團兩位團員以及一位知名俄羅斯搖滾樂歌手 |
| 媒體 | slon.ru、The New Times、TV Rain、Novaya Gazeta、Jailed Russia 等媒體的記者,以及其他批評當前俄羅斯政府的媒體機構,還有 Apostol Media Group |
| 軟體工程師 | 一家開發加密軟體的俄羅斯公司執行長,以及一位 mail.ru 的軟體工程師 |
從這份清單我們就能輕易發現,該攻擊行動幕後的團體正密切關注那些可能批評當前俄羅斯政府的異議人士。若不是這樣,就算 Pussy Riot 對政府有所批評,也不應成為被攻擊的對象。不過,就連軟體開發人員和 Apostol Media Group 媒體集團也在名單之列,這就頗耐人尋味,因為這些人跟俄羅斯政府其實有點關聯。事實上,至少有一位現任的俄羅斯駐北約軍事官員遭到 Pawn Storm 攻擊,讓該團體的攻擊動機更令人玩味。
烏克蘭和美國也遭殃
圖 2 顯示 Pawn Storm 行動的十大 APT攻擊目標國家。烏克蘭高居榜首,占全球的 25%,超越俄羅斯和美國。由於政治利益衝突的關係,這三個國家之間目前的關係似乎一觸即發。
烏克蘭的軍事、媒體、政府與政治人物,皆在其攻擊之列,且比例相當平均,光這四類就占該國所有攻擊目標的三分之二左右:
至於美國的主要目標為國防企業和軍事單位 (陸、海、空三軍)。此外,智庫和學術單位也是APT攻擊目標。Pawn Storm 尤其關注石油和核能方面的研究人員。
然而,這些試圖入侵的行動,只不過是另一項更大規模針對數以萬計知名人士的網路釣魚行動的一環,其目標是這些人士的網站式電子郵件信箱,如 Gmail、Yahoo、Hushmail、Outlook 以及烏克蘭、伊朗、挪威、甚至中國境內的其他電子郵件服務。
英國也是 Pawn Storm 的重要目標之一,但其絕大多數的攻擊都是針對居住在英國境內的東歐人士。
帳號登入資訊網路釣魚案例
歹徒的攻擊手法視情況而定。在某些行動當中,歹徒使用的是惡意程式和漏洞。Pawn Storm 至少使用過六個零時差漏洞,包括重大的 CVE-2015-2590 Java 漏洞。其中最普遍的一種手法是帳號登入資訊網路釣魚。我們在 2014 及 2015 年當中蒐集到 12,000 多個專門騙取個人帳號登入資訊的網路釣魚案例,因而能統計出 Pawn Storm 全球攻擊目標的可靠數據。
以下是 2015 年 7 月初發生的一位知名人士 Yahoo 電子郵件帳號收到的 Pawn Storm 網路釣魚攻擊。
這封 Pawn Storm 的網路釣魚(Phishing)郵件試圖利用 Yahoo 開放給 App 開發人員使用的 OAuth 開放標準認證通訊協定來取得 Yahoo 使用者的信箱登入資訊。Pawn Storm 假藉提供另一個郵件寄送服務來確保電子郵件送達的名義散發這封網路釣魚(Phishing)郵件。事實上,Pawn Storm 幕後集團正是利用這項服務來經由 OAuth 登入攻擊目標的帳號。被騙的 Yahoo 使用者一旦同意使用這項服務,Pawn Storm 的駭客就能自由進出其信箱。
但最重要的問題是,這個網路釣魚(Phishing)連結連上的是正牌 Yahoo 網站上的一個 OAuth 網頁。也因此,收到這封網路釣魚郵件的使用者才不疑有他。
從其形形色色的攻擊目標,我們無法確切知道歹徒的真正動機為何,但他們似乎正在搜刮大量的資訊,或許是為了監控俄羅斯所有可能遭到的威脅。目前我們仍密切監控這項攻擊行動的最新發展。
以下是我們過去有關 Pawn Storm 攻擊行動的一系列部落格文章:
- 分析 Pawn Storm 的 Java 零時差漏洞 – 故技重施 (Analyzing the Pawn Storm Java Zero-Day – Old Techniques Reused)
- Pawn Storm 幕後操縱伺服器重導至趨勢科技 IP 位址 (Pawn Storm C&C Redirects to Trend Micro IP Address)
- 深入探討 Pawn Storm 如何運用其 Java 零時差漏洞 (An In-Depth Look at How Pawn Storm’s Java Zero-Day Was Used)
- Oracle Java 零時差漏洞修補程式遭到 Pawn Storm 利用 (Oracle Patches Java Zero-Day Used in Operation Pawn Storm)
- Pawn Storm 最新消息:趨勢科技發現新的 Java 零時差漏洞攻擊 (Pawn Storm Update: Trend Micro Discovers New Java Zero-Day Exploit)
- Pawn Storm 攻擊活動激增,鎖定北大西洋公約組織 (NATO) 與美國白宮 (Operation Pawn Storm Ramps Up its Activities; Targets NATO, White House)
- Pawn Storm 最新消息:發現 iOS 間諜程式 (Pawn Storm Update: iOS Espionage App Found)
此外,我們最新的第二季資訊安全總評季報「新興浪潮:危及公共建設安全的最新駭客攻擊 (A Rising Tide: New Hacks Threaten Public Technologies)」也有關於 Pawn Storm 的分析。
原文出處:Pawn Storm’s Domestic Spying Campaign Revealed; Ukraine and US Top Global Targets) | 作者:Feike Hacquebord (資深威脅研究員)
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
▼ 歡迎加入趨勢科技社群網站▼
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載