回顧17 年來 Pawn Storm 遍及全球的網路間諜行動

趨勢科技的研究人員在最新一份有關 Pawn Storm (別名 APT28、Fancy Bear、Strontium 等等) 的報告當中,清楚披露了該網路間諜團體的活動範圍及規模。但更值得關注的是他們所使用伎倆。根據我們的觀察,其行動最遠可追溯至 17 年前,主要攻擊目標為政府、軍事、媒體以及政治機構,足跡遍布全球。此外,報告中也指出近兩年來該團體已開始將重心移轉至網路宣傳,而且光 2016 年就成長了 400%。

Pawn Storm 的發展史 

根據我們的研究,Pawn Storm 行動最遠可追溯至 2004 年,但趨勢科技的第一份相關報告 (同時也是業界發表的第一份有關該團體的報告) 卻是在 2014 年才出爐。不過從那時起,人們就開始知道該團體專門攻擊全球可能危害俄羅斯利益的大小機構。該團體透過情報的蒐集與精密的網路釣魚(Phishing)伎倆,成功襲擊了全球各類目標。

儘管該團體在美國大選期間出盡鋒頭,但其實他們過去三年來成功入侵了非常多機構:

 

2016 年 Pawn Storm 仍繼續從事網路間諜行動,但手法卻出現兩項重大改變。雖然歹徒依舊持續不斷騙取重要鎖定目標的帳號密碼,而且次數更加頻繁,行動也更加堅決,但歹徒卻開始朝網路宣傳發展。根據該集團使用的網路釣魚網域可以看出,其主要對象已變成了政黨與媒體。

 

日期機構網路釣魚網域
軍事
2016 年 3 月 4 日保加利亞陸軍mail.armf.bg.message-id8665213.tk
國防
2016 年 2 月 19 日波蘭國防部poczta.mon-gov.pl
媒體
2016 年 2 月 24 日Hurriyet (土耳其媒體)posta-hurriyet.com
2016 年 3 月 14 日Anadolu Agency (土耳其媒體)anadolu-ajansi.com
2016 年 3  月 15 日Anadolu Agency (土耳其媒體)mail.anadoluajansi.web.tr
2016 年 5 月 11 日Hurriyet (土耳其媒體)webmail-hurriyet.com
2016 年 6 月 12 日Hurriyet (土耳其媒體)mail-hurriyet.com
2016 年 11 月 14 日Al Jazeera (半島電視台)account-aljazeera.net
2016 年 11 月 14 日Al Jazeera (半島電視台)ssset-aljazeera.net
2016 年 11 月 15 日Al Jazeera (半島電視台)sset-aljazeera.net
2016 年 11 月 16 日Al Jazeera (半島電視台)sset-aljazeera.com
2016 年 11 月 21 日Al Jazeera (半島電視台)mail-aljazeera.net
政黨
2016 年 1 月 21 日土耳其總理e-post.byegm.web.tr
2016 年 1 月 12 日土耳其總理mail.byegm.web.tr
2016 年 2 月 1 日土耳其總理eposta.basbakanlik.qov.web.tr
2016 年 2 月 1 日土耳其國會e-posta.tbmm.qov.web.tr
2016 年 3 月 1 日美國民主黨myaccount.google.com-securitysettingpage.gq
2016 年 4 月 1 日美國民主黨myaccount.google.com-changepasswordmyaccount-idx8jxcn4ufdmncudd.gq
2016 年 4 月 22 日德國基督教民主黨 (CDU)webmail-cdu.de
2016 年 5 月 6 日德國基督教民主黨 (CDU)support-cdu.de
2016 年 6 月 6 日美國民主黨actblues.com
2016 年 10 月 20 日蒙特內哥羅國會mail-skupstina.me
學術機構
2016 年 3 月 4 日愛沙尼亞塔爾圖大學 (Tartu University)mail.university-tartu.info
2016 年 9 月 13 日俄羅斯貝加爾州立大學 (Baikal State University)mail-isea.ru
國際組織
2016 年 8 月 3 日世界反運動禁藥機構 (World Anti-Doping Agency,簡稱 WADA)mail.wada-awa.org
2016 年 8 月 8 日世界反運動禁藥機構 (World Anti-Doping Agency,簡稱 WADA)inside.wada-arna.org
2016 年 8 月 8 日國際體育仲裁院 (Tribunal Arbitral du Sport,簡稱 TAS)tas-cass.org

Pawn Storm 在 2016 年曾經發動的攻擊。

 

網路釣魚的威力

歹徒習慣在攻擊的第一階段透過網路釣魚來騙取受害對象的使用者帳號密碼,並且擅長使用當地發生的事件為誘餌來讓受害者上當。歹徒會小心避免郵件內容出現拼字和文法錯誤,以免遭垃圾郵件防護軟體的攔截,因此更容易成功進入目標。

企業機構的網站電子郵件帳號是企業資訊供應鏈上的脆弱環節。這些帳號可以讓歹徒取得一些機密的資訊,進而用來左右社會大眾輿論。例如,2016 年 Pawn Storm 就從世界反運動禁藥機構 (World Anti-Doping Agency,簡稱 WADA) 竊取了一批資料,並且透過「Fancy Bear」這個假名將資料公開到網路上,導致俄羅斯所有運動選手因禁藥而遭奧運會 (Olympics) 禁賽。不僅如此,網站電子郵件帳號還可用來當成入侵目標機構的墊腳石。

一些使用 Yahoo! 和 Gmail 這類免費電子郵件服務的重要人士,也是該集團長期鎖定的目標。Pawn Storm 會持續不斷發送魚叉式釣魚攻擊(SPEAR PHISHING)郵件給這些目標 (通常一週幾次),目的就是希望不斷利用各種方法來看看能不能得逞。我們的研究人員從 2015 年初至今已蒐集數千封這類電子郵件。

 

利用取得的帳號從事網路間諜活動

一旦受害目標不小心落入社交工程陷阱,點選了惡意連結或者開啟了惡意附件,歹徒就會使用相對單純的第一階段惡意程式來蒐集系統資訊,並掃瞄敏感資訊的所在位置。接著,Pawn Storm 會長期潛伏在受害系統內長達一年以上,暗中蒐集資訊。在進一步了解受害者並且判斷他們所入侵的是高價值目標之後,歹徒就會釋放出第二階段的惡意程式以便「挖得更深一點」。這些高價值目標,通常是受害機構當中的少數關鍵人物。

根據以往經驗,Pawn Storm 會將竊取到的資料用來:

  • 進一步深入受害目標的網路,甚至將該目標當成跳板,假冒受害者名義發送電子郵件。
  • 將敏感資訊公開,讓受害機構蒙羞或身敗名裂,藉此影響輿論。

 

Pawn Storm 的未來動向

2017 年,趨勢科技預料該團體將更加活躍。事實上,我們的研究人員在今年三、四月間不斷發現一些針對法國和德國政治團體的網路釣魚網域。德國艾德諾基金會 (Konrad-Adenauer-Stiftung) 以及法國總統候選人馬克宏 (Emmanuel Macron) 的競選團隊,都曾經是今年遭到攻擊的目標。

登上媒體版面之後,Pawn Storm 似乎更加膽大妄為。2016 年他們因為干擾美國總統大選而多次在媒體上曝光,我們預料未來類似的攻擊將屢見不鮮。這也直接印證了我們 2017 年資安預測報告的看法:網路宣傳將成為一種常態。我們甚至在報告中提到法國和德國的選舉,事實證明 Pawn Storm 確實正試圖干預。

如同所有其他機構一樣,政治團體也應假設自己可能已經遭到入侵。從董事會到伺服器機房,所有人員都必須同心協力保護機密資訊的安全。不管是 Pawn Storm、駭客激進團體、網路犯罪集團,或者是內賊,智慧財產和機密資料一旦落入不肖之徒手中,絕對不會有好下場。

如需更多 Pawn Storm 的相關資訊,請參閱趨勢科技網站上的完整分析,看看我們這三年來的研究成果以及他們做了哪些壞事。

 

作者:Ed Cabrera