趨勢科技的研究人員在最新一份有關 Pawn Storm (別名 APT28、Fancy Bear、Strontium 等等) 的報告當中,清楚披露了該網路間諜團體的活動範圍及規模。但更值得關注的是他們所使用伎倆。根據我們的觀察,其行動最遠可追溯至 17 年前,主要攻擊目標為政府、軍事、媒體以及政治機構,足跡遍布全球。此外,報告中也指出近兩年來該團體已開始將重心移轉至網路宣傳,而且光 2016 年就成長了 400%。
Pawn Storm 的發展史
根據我們的研究,Pawn Storm 行動最遠可追溯至 2004 年,但趨勢科技的第一份相關報告 (同時也是業界發表的第一份有關該團體的報告) 卻是在 2014 年才出爐。不過從那時起,人們就開始知道該團體專門攻擊全球可能危害俄羅斯利益的大小機構。該團體透過情報的蒐集與精密的網路釣魚(Phishing)伎倆,成功襲擊了全球各類目標。
儘管該團體在美國大選期間出盡鋒頭,但其實他們過去三年來成功入侵了非常多機構:
- 2014 年 6 月 – 成功入侵波蘭政府網站。
- 2014 年 9 月 – 攻擊美國某大型核燃料經銷商,假冒該廠商的 Outlook Web Access (OWA) 登入網頁成功騙取其員工的帳號密碼。此外,也利用假冒的 OWA 登入網頁攻擊美國及歐洲的國防軍事機構。
- 2014 年 12 月 – 利用該月稍早入侵的美國某軍事機構聯絡窗口取得的帳號攻擊了美國某大型報社 55 名員工的公司帳號。
- 2015 年 1 月 – 利用假冒 Gmail 名義的網路釣魚攻擊三位高人氣 YouTube 部落客。這些攻擊都發生在部落客於白宮訪問美國總統歐巴馬四天之後。
- 2015 年 2 月 – 利用惡意的 iOS 應用程式從事間諜活動。此外也利用假冒的 OWA 網站攻擊北大西洋公約組織 (NATO) 駐烏克蘭聯絡官。
- 2015 年 4 月 – 攻擊 NATO 會員國及法國 TV5Monde 電視台,造成該電視台多個全球頻道中斷。
- 2015 年 7 月 – 趨勢科技發現該團體利用一個新的 Java 零時差漏洞發動攻擊。
- 2015 年 7 月 – 該團體將自己的某個幕後操縱 (C&C) 伺服器導向趨勢科技的 IP 位址。
- 2015 年 8 月 – 爆發國內間諜行動,目標鎖定一些俄羅斯異議份子、媒體、藝術家、軍事人員,甚至還有美國資深官員。
- 2015 年 9 月 – 架設假冒荷蘭安全局 (Dutch Safety Board) 的 SFTP (Secure File Transfer Protocol) 檔案傳輸伺服器,並製作假冒的 OWA 伺服器來攻擊荷蘭安全局負責馬航 MH17 空難事件的調查人員。
- 2015 年 10 月 – 趨勢科技發現歹徒利用 Adobe Flash 零時差漏洞搭配魚叉式網路釣魚郵件攻擊多個國家的外交部。
2016 年 Pawn Storm 仍繼續從事網路間諜行動,但手法卻出現兩項重大改變。雖然歹徒依舊持續不斷騙取重要鎖定目標的帳號密碼,而且次數更加頻繁,行動也更加堅決,但歹徒卻開始朝網路宣傳發展。根據該集團使用的網路釣魚網域可以看出,其主要對象已變成了政黨與媒體。
| 日期 | 機構 | 網路釣魚網域 |
| 軍事 | ||
| 2016 年 3 月 4 日 | 保加利亞陸軍 | mail.armf.bg.message-id8665213.tk |
| 國防 | ||
| 2016 年 2 月 19 日 | 波蘭國防部 | poczta.mon-gov.pl |
| 媒體 | ||
| 2016 年 2 月 24 日 | Hurriyet (土耳其媒體) | posta-hurriyet.com |
| 2016 年 3 月 14 日 | Anadolu Agency (土耳其媒體) | anadolu-ajansi.com |
| 2016 年 3 月 15 日 | Anadolu Agency (土耳其媒體) | mail.anadoluajansi.web.tr |
| 2016 年 5 月 11 日 | Hurriyet (土耳其媒體) | webmail-hurriyet.com |
| 2016 年 6 月 12 日 | Hurriyet (土耳其媒體) | mail-hurriyet.com |
| 2016 年 11 月 14 日 | Al Jazeera (半島電視台) | account-aljazeera.net |
| 2016 年 11 月 14 日 | Al Jazeera (半島電視台) | ssset-aljazeera.net |
| 2016 年 11 月 15 日 | Al Jazeera (半島電視台) | sset-aljazeera.net |
| 2016 年 11 月 16 日 | Al Jazeera (半島電視台) | sset-aljazeera.com |
| 2016 年 11 月 21 日 | Al Jazeera (半島電視台) | mail-aljazeera.net |
| 政黨 | ||
| 2016 年 1 月 21 日 | 土耳其總理 | e-post.byegm.web.tr |
| 2016 年 1 月 12 日 | 土耳其總理 | mail.byegm.web.tr |
| 2016 年 2 月 1 日 | 土耳其總理 | eposta.basbakanlik.qov.web.tr |
| 2016 年 2 月 1 日 | 土耳其國會 | e-posta.tbmm.qov.web.tr |
| 2016 年 3 月 1 日 | 美國民主黨 | myaccount.google.com-securitysettingpage.gq |
| 2016 年 4 月 1 日 | 美國民主黨 | myaccount.google.com-changepasswordmyaccount-idx8jxcn4ufdmncudd.gq |
| 2016 年 4 月 22 日 | 德國基督教民主黨 (CDU) | webmail-cdu.de |
| 2016 年 5 月 6 日 | 德國基督教民主黨 (CDU) | support-cdu.de |
| 2016 年 6 月 6 日 | 美國民主黨 | actblues.com |
| 2016 年 10 月 20 日 | 蒙特內哥羅國會 | mail-skupstina.me |
| 學術機構 | ||
| 2016 年 3 月 4 日 | 愛沙尼亞塔爾圖大學 (Tartu University) | mail.university-tartu.info |
| 2016 年 9 月 13 日 | 俄羅斯貝加爾州立大學 (Baikal State University) | mail-isea.ru |
| 國際組織 | ||
| 2016 年 8 月 3 日 | 世界反運動禁藥機構 (World Anti-Doping Agency,簡稱 WADA) | mail.wada-awa.org |
| 2016 年 8 月 8 日 | 世界反運動禁藥機構 (World Anti-Doping Agency,簡稱 WADA) | inside.wada-arna.org |
| 2016 年 8 月 8 日 | 國際體育仲裁院 (Tribunal Arbitral du Sport,簡稱 TAS) | tas-cass.org |
Pawn Storm 在 2016 年曾經發動的攻擊。
網路釣魚的威力
歹徒習慣在攻擊的第一階段透過網路釣魚來騙取受害對象的使用者帳號密碼,並且擅長使用當地發生的事件為誘餌來讓受害者上當。歹徒會小心避免郵件內容出現拼字和文法錯誤,以免遭垃圾郵件防護軟體的攔截,因此更容易成功進入目標。
企業機構的網站電子郵件帳號是企業資訊供應鏈上的脆弱環節。這些帳號可以讓歹徒取得一些機密的資訊,進而用來左右社會大眾輿論。例如,2016 年 Pawn Storm 就從世界反運動禁藥機構 (World Anti-Doping Agency,簡稱 WADA) 竊取了一批資料,並且透過「Fancy Bear」這個假名將資料公開到網路上,導致俄羅斯所有運動選手因禁藥而遭奧運會 (Olympics) 禁賽。不僅如此,網站電子郵件帳號還可用來當成入侵目標機構的墊腳石。
一些使用 Yahoo! 和 Gmail 這類免費電子郵件服務的重要人士,也是該集團長期鎖定的目標。Pawn Storm 會持續不斷發送魚叉式釣魚攻擊(SPEAR PHISHING)郵件給這些目標 (通常一週幾次),目的就是希望不斷利用各種方法來看看能不能得逞。我們的研究人員從 2015 年初至今已蒐集數千封這類電子郵件。
利用取得的帳號從事網路間諜活動
一旦受害目標不小心落入社交工程陷阱,點選了惡意連結或者開啟了惡意附件,歹徒就會使用相對單純的第一階段惡意程式來蒐集系統資訊,並掃瞄敏感資訊的所在位置。接著,Pawn Storm 會長期潛伏在受害系統內長達一年以上,暗中蒐集資訊。在進一步了解受害者並且判斷他們所入侵的是高價值目標之後,歹徒就會釋放出第二階段的惡意程式以便「挖得更深一點」。這些高價值目標,通常是受害機構當中的少數關鍵人物。
根據以往經驗,Pawn Storm 會將竊取到的資料用來:
- 進一步深入受害目標的網路,甚至將該目標當成跳板,假冒受害者名義發送電子郵件。
- 將敏感資訊公開,讓受害機構蒙羞或身敗名裂,藉此影響輿論。
Pawn Storm 的未來動向
2017 年,趨勢科技預料該團體將更加活躍。事實上,我們的研究人員在今年三、四月間不斷發現一些針對法國和德國政治團體的網路釣魚網域。德國艾德諾基金會 (Konrad-Adenauer-Stiftung) 以及法國總統候選人馬克宏 (Emmanuel Macron) 的競選團隊,都曾經是今年遭到攻擊的目標。
登上媒體版面之後,Pawn Storm 似乎更加膽大妄為。2016 年他們因為干擾美國總統大選而多次在媒體上曝光,我們預料未來類似的攻擊將屢見不鮮。這也直接印證了我們 2017 年資安預測報告的看法:網路宣傳將成為一種常態。我們甚至在報告中提到法國和德國的選舉,事實證明 Pawn Storm 確實正試圖干預。
如同所有其他機構一樣,政治團體也應假設自己可能已經遭到入侵。從董事會到伺服器機房,所有人員都必須同心協力保護機密資訊的安全。不管是 Pawn Storm、駭客激進團體、網路犯罪集團,或者是內賊,智慧財產和機密資料一旦落入不肖之徒手中,絕對不會有好下場。
如需更多 Pawn Storm 的相關資訊,請參閱趨勢科技網站上的完整分析,看看我們這三年來的研究成果以及他們做了哪些壞事。
作者:Ed Cabrera