Pawn Storm 間諜行動曝光:政治人物,搖滾歌手,藝術家成為攻擊目標

Pawn Storm 這個活躍已久的網路間諜行動為何看上俄羅斯的龐克搖滾樂團?的確,Pussy Riot (暴動小貓) 是個具爭議性的樂團,這個由女性主義者成立的樂團,其成員不久前才因觸犯基督教東正教會和俄羅斯教長制度的言論而入獄。但駭客為何會對她們有興趣?她們和其他被攻擊的對象有何關聯?

今年年初,我們曾經報導過 Pawn Storm 攻擊行動攻擊了北大西洋公約組織 (NATO) 會員國、美國白宮以及德國國會。不久前,他們又鎖定了駐紮在多個國家的大使館和軍事官員。Pawn Storm 的攻擊目標多為俄羅斯境外的政治單位,但根據趨勢科技的分析發現,實際上仍可有不少目標其實是位於該國境內。

間諜軟體

俄羅斯境內的間諜活動

Pawn Storm 行動幕後的俄羅斯間諜顯然對國內外是一視同仁,他們甚至也監控自己的人民。例如,針對俄羅斯國民的帳號登入資訊網路釣行動,就是一個本國境內間諜行動的案例。圖 1 顯示該行動攻擊目標在不同產業的分布情形。

圖 1:俄羅斯境內攻擊目標的產業/市場分布。

繼續閱讀

分析 Pawn Storm 的 Java 零時差漏洞 – 故技重施

過去,Java 一向是網路犯罪集團最愛的漏洞攻擊目標,不過近年來,這樣的情況已經不在。最近已修正的 Pawn Storm 攻擊行動 Java 零時差漏洞事實上是 Java 近兩年來被發現的第一個零時差漏洞。

零時差攻擊

這有一部分的原因要歸功於 Java 安全措施的強化。正如 Oracle 在 Java 首頁上所言,現在的主流瀏覽器在遇到過時的 Java 外掛程式時都會自動將它停用。此外,2014 年 1 月發表的Java 7 Update 51即限縮了可執行的 Applet 類型。在預設情況下,自我簽署和未經簽署 (也就是駭客最可能使用) 的 Applet 將無法在瀏覽器上執行。此外,JRE 還對所有的 Applet (不論是否簽署) 提供了點按執行 (click-to-play) 的功能。這兩點加起來,大大得降低了 Java 平台對駭客的吸引力。

既然這個 Java 零時差漏洞 (CVE-2015-2590) 現在已經修正,我們就來說明一下它的相關技術細節。此漏洞由兩部分組成:第一部份是略過 Java 的點按執行保護機制。這部分我們不能討論,但我們可以談談另外一部分。如前面所說,這個漏洞在最新的 Java 版本 (Java 8 Update 51) 當中已經獲得修正。

Java 提供了一個叫做 ObjectInputStream 的類別來執行反序列化 (decentralize) 作業,以便將記憶體緩衝區內的資料轉成物件。這個反序列化緩衝區當中包含了物件的類別資訊和檔案化的資料。如需該類別的更多詳細資訊,請參閱Java 官方文件繼續閱讀

Java零時差漏洞再現,鎖定專門攻擊軍事單位,政府機關和國防機構

Pawn Storm:兩年來第一個 Java 零時差攻擊

趨勢科技的研究團隊在 Pawn Storm(典當風暴) 這個專門鎖定重要敏感機構的駭客集團攻擊行動當中發現了一項新的攻擊手法。我們經由趨勢科技主動式雲端截毒服務  Smart Protection Network情報網發現了一些專門針對北約 (NATO) 會員國和某個美國國防機構的攻擊電子郵件。

Attack 攻擊

Pawn Storm 行動這項最新攻擊之所以令人矚目的原因是它運用了一個全新、尚未修補的 Java 漏洞,這是自從 2013 年以來第一個被發現的 Java 零時差漏洞。此外,該攻擊還運用了一個已有三年歷史的 Microsoft Windows Common Controls (通用控制項) 漏洞 (CVE-2012-015),此漏洞已經在 MS12-027 安全公告當中解決。

趨勢科技的研究人員已將漏洞通報給 Oracle, Oracle已經在2015 年 7 月重大修補更新當中修正了這項漏洞。我們建議受影響的使用者盡快更新自己的 Java 軟體。此外,該漏洞也已列入 CVE 漏洞資料庫當中,編號:CVE-2015-2590。

零時差漏洞一直是進階持續性滲透攻擊 (APT) 的最愛工具,因為它們非常有效。這一切都是因為廠商還未釋出修補程式的緣故。在我們持續追蹤及監控 Pawn Storm 這個 APT 攻擊行動的過程中,我們發現了一些可疑的網址專門攻擊一項新發現的 Java 零時差漏洞。這是近兩年來第一次有新的 Java 零時差漏洞被發現。

值得注意的是,這個零時差漏洞與最近發生的 Hacking Team 資料外洩事件並無關聯。Pawn Storm 攻擊行動背後的團體目前正利用這項 Java 零時差漏洞來從事活動。

前述暗藏這個 Java 新零時差漏洞的網址與 Pawn Storm(典當風暴)  在 2015 年 4 月攻擊北約 (NATO) 會員國和美國白宮所使用的網址類似,不過當時的網址並未包含這次發現的漏洞。除此之外,Pawn Storm 還會攻擊其他政府機構,並利用一些政治事件和研討會為社交工程(social engineering )誘餌,如亞太經合會 (APEC) 以及 2014 年中東國土安全高峰會 (Middle East Homeland Security Summit 2014)。除了軍事單位和政府機關之外,媒體與國防工業也是這個 APT 攻擊行動鎖定的目標。 繼續閱讀

< APT 攻擊>專門從事經濟和政治間諜的Pawn Storm活動激增

Pawn Storm活動激增,鎖定北大西洋公約組織 (NATO) 與美國白宮

一直長期活躍的 Pawn Storm「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)行動在新的一年突然爆炸性成長,導入了新的基礎架構,同時也開始鎖定北大西洋公約組織 (NATO) 會員國,甚至是美國白宮。這是根據趨勢科技持續研究其背後駭客團體所得到的最新情報,同時也是我們眾所周知的 2014 年 10 月份 Pawn Storm 研究報告的後續補充。

通用 security

 

Pawn Storm 攻擊行動:背景

Pawn Storm 是一項專門從事經濟和政治間諜活動的攻擊行動,其目標相當廣泛,包括:軍事、政府、國防產業、媒體等等。

該團體是一群處心積慮的駭客,至少從 2007 年開始即活躍至今,其犯案模式非常固定。我們為所取的名稱,是根據歹徒聯合搭配多種工具和手法來襲擊單一目標的作法,與西洋棋中的 Pawn Storm (小兵聯合攻擊) 策略如出一轍。

該團體運用了三種非常容易辨別的攻擊手法。第一種是發送含有惡意 Microsoft® Office 文件的網路釣魚郵件,文件當中暗藏專門竊取資料的 SEDNIT/Sofacy 惡意程式;第二種是在波蘭政府的一些網站上植入某些漏洞攻擊程式,讓瀏覽者感染前述的惡意程式;最後一種則是利用網路釣魚電子郵件來將使用者重導至假冒的 Microsoft Outlook Web Access (OWA) 登入網頁。

Pawn Storm 主要攻擊對象為美國及其盟邦的軍事單位、政府機關和媒體機構。我們判斷該團體也曾攻擊俄羅斯異議團體以及那些和克里姆林宮作對的團體,此外,烏克蘭激進團體與軍事單位也在攻擊之列。因此有人揣測該團體可能跟俄羅斯政府有所關聯。

今年二月,趨勢科技觀察到 Pawn Storm 又有新的動作,並發現一個專門攻擊 Apple 使用者的 iOS 間諜程式

繼續閱讀