Pawn Storm 是一項又深又廣的持續性網路間諜行動。它曾攻擊北大西洋公約 (NATO) 會員國與美國白宮等政府機關,也曾鎖定烏克蘭和俄羅斯的一些知名政治人物,而且我們相信,歹徒的總部就位於俄羅斯。去年十月趨勢科技即曾經發表過有關 Pawn Storm 的研究報告:Pawn Storm 攻擊行動:利用轉移注意力來躲避偵測 (Operation Pawn Storm: Using Decoys to Evade Detection),自此我們便一直持續監控及追蹤該行動的最新發展。
本文介紹有關該行動的最新發展,同時也提供一些背景資訊讓還不熟悉該行動的讀者進入狀況。
什麼是 Pawn Storm 攻擊行動?
Pawn Storm 是一項至今仍相當活躍的政治經濟網路間諜行動,專門鎖定一些知名機構和人士,從政府機關到媒體名人皆在攻擊之列。其最早的活動出現於2007 年,但直到最近,我們才掌握有關該行動的一些具體資料,包括其攻擊目標和攻擊來源。
它和其他網路間諜團體/行動有何不同之處?
Pawn Storm 在攻擊手法上和其他以政治為動機的駭客團體有明顯不同,例如:
- 使用挾帶 SEDNIT/Sofacy 惡意程式的魚叉式網路釣魚(Phishing)郵件來攻擊 Windows系統,或挾帶 Fysbis 或 X-Agent 惡意程式來攻擊 Linux 系統。其魚叉式網路釣魚郵件有時會使用一些當地的材料或話題來吸引收件人開啟郵件。SEDNIT 是一個擁有後門和資訊竊取行為的惡意程式。
- 假冒企業的 OWA 登入網頁來從事魚叉式網路釣魚郵件攻擊。其某個魚叉式網路釣魚(Phishing)魚郵件的變種會將使用者重導致假冒的 Outlook Web Access (OWA) 登入網頁,藉此竊取使用者的登入帳號密碼。此一攻擊手法的眾多受害者當中,美國國防承包商 ACADEMI (前 Blackwater 公司) 也名列其中。
- 利用自製的 iOS 惡意程式從事間諜活動。此 iOS 惡意程式就是趨勢科技所偵測到的 IOS_XAGENT.A 或 IOS_XAGENT.B,可從受感染的行動裝置竊取各種資訊,例如:訊息、通訊錄、定位資訊、照片,甚至錄音檔。
其攻擊目標為何?
Pawn Storm已知會攻擊下列目標 (截至本文撰寫當時為止):
- 美國的政府機關、軍事單位和媒體機構
- 美國友邦的政府機關、軍事單位和媒體機構
- 俄羅斯異議份子,或是克里姆林宫的政敵
- 烏克蘭激進主義者
- 烏克蘭媒體
- 烏克蘭軍事單位和政府機關
- 北約 (NATO) 及其會員國
- 歐洲、亞洲、中東的政府機關
Pawn Storm過去最知名的攻擊事件有哪些?
Pawn Storm過去最知名的攻擊事件如下:
- 2014 年 6 月 – 入侵了波蘭政府的網站。
- 2014 年 9 月 – 攻擊了美國一家大型的核燃料供應商,假冒該公司名義架設了一個 Outlook Web Access 登入網頁來蒐集其員工的登入資訊。此外,也利用同樣的假冒 OWA 登入網頁手法攻擊了美國和歐洲的軍事和國防機構。
- 2014 年 12 月 – 利用該月稍早已入侵的一名美國軍事單位聯絡人的帳號,入侵了美國一家大型報社 55 名員工的公司帳號。
- 2015 年 1 月 – 利用 Gmail 網路釣魚攻擊了三名知名的 YouTube 部落客。這項攻擊發生在這些部落客在美國白宮專訪美國總統歐巴馬四天之後。
- 2015 年 2 月 – 利用 iOS 惡意程式從事間諜活動。此外,也利用假冒的 OWA 網頁攻擊了駐烏克蘭的 NATO 聯絡官。
- 2015 年 4 月 – 攻擊了NATO 會員國。
- 2015 年 7 月 – 趨勢科技發現歹徒使用一個新的 Java 零時差漏洞發動攻擊。
- 2015 年 7 月 – 歹徒將其某個 C&C 伺服器連線重導至趨勢科技擁有的一個 IP。
Pawn Storm 的最新發展為何?
趨勢科技研究人員對Pawn Storm的攻擊目標做了一番詳細的統計分析。藉由該行動攻擊目標與惡意連結點按次數的統計數據,有助於了解該團體背後的動機。
根據我們對 Pawn Storm攻擊行動 12,000 次非重複的登入資訊網路網路釣魚(Phishing)攻擊所做的分析顯示:
- 其受害目標以美國及烏克蘭知名人士所佔的比例最高,分占第一和第二名。
- 俄羅斯和英國並列第三。
- 美國境內主要目標是國防企業和軍事單位。
- 俄羅斯境內最大目標是媒體、民主和異議人士。其中最有名的是一個稱為 Pussy Riot (暴動小貓) 的女性主義龐克搖滾異議樂團。其他知名目標還有前俄羅斯總理以及統一俄羅斯黨 (United Russia) 的一位成員。
- 烏克蘭的軍事、媒體、政府與政治人物,皆在其攻擊之列,且比例相當平均,光這四類就占該國所有攻擊目標的三分之二左右。
根據最新情報顯示,Pawn Storm 的攻擊目標為重要政治人士,尤其是烏克蘭人士。這很可能與該國發生的衝突以及美國出面插手有關。因此可推測 Pawn Storm 很可能是受到烏克蘭事件背後某一方的指示,也可能單純只是其外圍組織擅自採取的行動。
Pawn Storm擊行動目前仍在持續當中。根據趨勢科技最新的研究發現,Pawn Storm幕後的俄羅斯間諜顯然對國內外是一視同仁的。進一步詳情,可參閱我們資訊安全情報部落格 (Security Intelligence Blog) 的文章。
原文出處:Operation Pawn Storm: Fast Facts and the Latest Developments
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
▼ 歡迎加入趨勢科技社群網站▼
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載