歹徒的目標有時是可拿到地下市場販賣的金融資訊,或是公司的商業機密。就連已遭入侵的網路帳號密碼,對網路犯罪者來說也是一項商品。因此,針對攻擊來源進行一番仔細的研究,有助於事件回應和資安矯正。
此外,追查幕後的駭客有助於了解其技術的純熟度,並且掌握駭客資源與技巧的多寡,以及資安人員有多少應變時間。但是,研究人員不該因為事件的重大而譁眾取寵,或者隨著主流媒體對資安事件的炒作與恐慌而起舞。
EyePyramid 事件印證了一件事:重大的資安攻擊並非只有國家級駭客才能辦到。從保護企業邊境的觀點來看,了解未來該如何防範並取得必要的工具和專業知識來面對這些威脅,反倒更為重要。
今年初EyePyramid 資訊竊盜程式成了各大媒體的焦點,因為它從一些政府機關、私人企業和公家機構竊取了高達 87GB 的敏感資料,共有 100 多個電子郵件網域和 18,000 多個電子郵件帳號受害,包括義大利、美國、日本和歐洲的一些知名機構在內。
很多人或許會認為 EyePyramid 應該是由國家級駭客所進行的一項網路間諜行動。但事實並非如此,該行動的「幕後集團」最後被發現只是一對想要利用惡意程式賺錢的兄妹檔。
追根溯源相當困難
若我們可以從 EyePyramid 的案例學到什麼教訓的話,那就是:追根溯源相當困難。追溯幕後的源頭是網路犯罪偵查當中最複雜的工作,部分原因是網際網路的設計讓歹徒有很多方式可以隱藏行蹤。
就算真的追查到網路攻擊的源頭,大多數資安機構和資安人員也都會盡可能避免點名特定的個人、團體或國家,因為這麼做很冒險。例如,資安界經常引用惡意程式碼當中的一些特徵來當成佐證。但不幸的是,惡意程式碼的作者經常不是實際犯案的歹徒,因為這些程式很可能是從地下市場買來的。除此之外,從惡意程式也看不出幕後運籌帷幄的歹徒,因為他們有許多躲藏和造假的工具和技巧。甚至連受害者、犯案動機或惡意程式所參與的行動都很難斷定。或許我們可以從竊取資訊的性質來進行推測,但這仍受到政治、經濟和社會因素影響。所以,我們還是盡可能利用技術上的證據來追溯犯案的歹徒,例如原始程式碼當中的一些文字、使用者名稱、網域登記資訊,以及其他曾經在其他網站上出現過的資訊。
犯罪集團與個人犯罪
犯罪者的追查牽涉到許多複雜因素。EyePyramid 的案例跟 Limitless 一樣,都是因為歹徒犯了錯誤才失風被逮。個人犯罪者通常可以看出某種習慣 (例如重複出現的字眼)、怪癖、技巧以及某些與其關聯的網路 ID。至於犯罪集團 (如 Pawn Storm) 則會有多種特徵,他們的共同點是集合了許多個人的不同怪癖。這樣的多樣性,再加上他們所擁有的資源,讓犯罪集團不容易歸納出清楚的特徵,這一點與追溯個人犯罪者的情況截然不同。幕後的犯罪集團越大,追查起來就越像大海撈針一樣。
同理,專業的網路犯罪集團成員都是因為各有所長而互相結合,他們比較可能具備隱藏行蹤的技巧。此外,加入團隊也可以獲得互相切磋學習的機會。而且,一些業餘、低階、獨行的駭客,通常缺乏犯罪集團的大型基礎架構。這些個人駭客通常使用現有的惡意程式,而動機通常只是為了消遣或者賺取一點外快。
在面對威脅時,一開始很難判斷駭客是屬於哪一種類型:設備簡陋的個人駭客與專業的駭客組織在追查難度與手法精密度上有很大的差異。但即使是一些較小的網路犯罪集團,例如同時身兼漏洞攻擊套件作者、勒索病毒開發者以及點閱挾持詐騙者的 Rove Digital 就很已經難追查,可見追查那些資金充裕的國家級駭客團體有多難。
追根究底的危險
不論我們喜不喜歡,駭客攻擊似乎與政治越來越密不可分。但問題是,大部分的指控都被當時的情境而高度政治化,因此指控者的動機和目標相當可疑,不過卻讓主流媒體可以拿來大做文章,製造了許多恐慌、不安和疑慮。
就拿美國最近一起電力系統遭到網路攻擊的新聞為例。該攻擊被指稱由俄國所為,並宣稱是經由佛蒙特州 (Vermont) 的某個電網入侵。新聞報導一如往常一樣,引述了某些不具名官員的評論,細數過去的一些類似事件,更點出最壞可能的情況。
問題是,真相並非如此。事實上,該起事件比媒體說的單純許多,惡意程式最後在某個筆記型電腦上被找到,甚至並未連上電網。這起事件以及其他諸多事件都突顯了一項趨勢,那就是:有人專門利用一些不實的新聞、網路宣傳以及未經查證的故事來影響不知情的大眾。就算他們出發點是好的,但卻只是滿足大眾對抓查幕後兇手的期待而已。問題是,事情並非如此單純。這樣只會造成人跟人之間、組織跟組織之間 (以及國家和國家之間) 的不信任。任由負面情緒高漲只會帶來反效果。
追根溯源真的重要嗎?
當您聽到某重大攻擊時,請設身處地為受害者想一下。對我的公司更重要的是什麼?我的公司是否能夠應付得了這樣的攻擊?對於企業以及許多資安專業人員來說,更重要的是要知道該守護什麼資產?它們可能遭遇何種類型的攻擊?比方說:歹徒如何進來?他們對系統和資料做了什麼?他們是否還在網路內部?
大多數重大或涉及國家層級的攻擊,其使用的工具和技巧與一般企業常見的攻擊並無太大差異。這些攻擊所用到的最新技巧,最終還是會慢慢普及。因此,專注於事件主動應變、最佳實務和縱深防禦,長期來說對於企業的防護更有幫助,而且還不需在意那些黨派偏見和政治性的揣測。
當然,追根溯源還是有一定的價值。知道您所面對的敵人,有助於了解其動機和目的。視攻擊目標的風險程度而定,歹徒的目標有時是可拿到地下市場販賣的金融資訊,或是公司的商業機密。就連已遭入侵的網路帳號密碼,對網路犯罪者來說也是一項商品。因此,針對攻擊來源進行一番仔細的研究,有助於事件回應和資安矯正。
此外,追查幕後的駭客有助於了解其技術的純熟度,並且掌握駭客資源與技巧的多寡,以及資安人員有多少應變時間。但是,研究人員不該因為事件的重大而譁眾取寵,或者隨著主流媒體對資安事件的炒作與恐慌而起舞。
EyePyramid 事件印證了一件事:重大的資安攻擊並非只有國家級駭客才能辦到。從保護企業邊境的觀點來看,了解未來該如何防範並取得必要的工具和專業知識來面對這些威脅,反倒更為重要。
原文出處:EyePyramid and a Lesson on the Perils of Attribution作者:Martin Roesler (威脅研究總監)