在本系列的最後一篇,我們將詳細探討 APT33 駭客集團並提供我們專家團隊的一些資安建議。
石油天然氣產業依舊是駭客集團的主要目標,駭客的目的是要造成營運中斷並帶來損害。上一篇 (中篇) 我們討論了各種可能衝擊石油天然氣產業的威脅,包括:勒索病毒(勒索軟體,Ransomware)、DNS 通道和零時差漏洞攻擊(zero-day attack)。接下來,在本系列的最後一篇,我們將探討 APT33 駭客集團這個被視為許多石油產業及相關供應鏈遭到魚叉式網路釣魚 (Spear Phishing )攻擊背後的元凶。最後,我們將提出一些有助於石油天然氣公司強化網路資安架構的建議。
Pawn Storm 這個活躍已久的網路間諜行動為何看上俄羅斯的龐克搖滾樂團?的確,Pussy Riot (暴動小貓) 是個具爭議性的樂團,這個由女性主義者成立的樂團,其成員不久前才因觸犯基督教東正教會和俄羅斯教長制度的言論而入獄。但駭客為何會對她們有興趣?她們和其他被攻擊的對象有何關聯?
今年年初,我們曾經報導過 Pawn Storm 攻擊行動攻擊了北大西洋公約組織 (NATO) 會員國、美國白宮以及德國國會。不久前,他們又鎖定了駐紮在多個國家的大使館和軍事官員。Pawn Storm 的攻擊目標多為俄羅斯境外的政治單位,但根據趨勢科技的分析發現,實際上仍可有不少目標其實是位於該國境內。
俄羅斯境內的間諜活動
Pawn Storm 行動幕後的俄羅斯間諜顯然對國內外是一視同仁,他們甚至也監控自己的人民。例如,針對俄羅斯國民的帳號登入資訊網路釣行動,就是一個本國境內間諜行動的案例。圖 1 顯示該行動攻擊目標在不同產業的分布情形。
圖 1:俄羅斯境內攻擊目標的產業/市場分布。
曾經遭遇資料外洩駭客事件的企業,通常都有一個同樣的疑惑:「駭客是如何在我的環境當中長期躲藏而不被發現?」根據 Mandiant 的一份報告,在所有資料外洩事件當中,駭客平均躲藏的天數是 205 天。每一起資料外洩駭客事件背後都有一位或多位主謀,而且現在越來越難逮到這位幕後的主謀。
APT攻擊駭客團體特別擅長隱匿行蹤
在所有駭客攻擊當中,最有能力在企業網路內部四處躲藏及遊走的,應該是「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)。這些攻擊之所以被稱為「進階」,是因為駭客運用了零時差漏洞;之所以能夠「持續滲透」,是因為駭客有著強烈的動機。其高超的技巧,對全球的企業來說都是一項嚴重威脅。這些APT攻擊駭客團體就如同一般的犯罪集團一樣,有著組織性犯罪的特質,而且特別擅長隱匿行蹤。
他們有統一的指揮管道,而且要擒拿這些行動背後的首腦相當困難,尤其是當他們躲藏在國外的時候。事實上,許多政治取向的APT攻擊團體通常都有政府在背後支援,而這些政府當然不可能配合執行違反其意志的政策。即使我們可以從攻擊行動所使用的網址來追溯到某個地區,但該網址註冊的 DNS 和 IP 服務廠商通常也不願配合國外的執法機關,因為他們向來聽命於當地政府。正因如此,那些由政府在背後撐腰的駭客,就能一再發動惡意攻擊而不會遭到任何懲罰。在低風險、高報酬的條件下,他們會不斷從過去的失敗當中記取教訓,因此每一次都比上一次的行動更加小心謹慎。
APT攻擊共有六個階段,每一階段由一組專門的駭客負責
有一點很重要是我們必須知道的,企業網路內的橫向移動只是APT攻擊的其中一個階段而已。事實上,典型的APT攻擊共有六個階段:(1) 情報蒐集、(2) 突破防線、(3) 幕後操縱 (C&C)、(4) 橫向移動、(5) 搜尋資產、(6) 資料外傳。有組織的APT攻擊團體通常會將工作依照行動階段來分工合作,每一階段由一組專門的駭客負責,並有其獨特的工具和技巧。這樣的作法在大型犯罪集團已行之有年,目前也開始運用到網路犯罪領域。
人們通常會過於執著在技術上的細節,而忘了其實 APT攻擊團體跟傳統非電腦犯罪的專業集團有許多相似之處。就以持槍搶劫銀行的例子來說,不同的搶匪會依據個人的專長而分別擔任不同的工作,藉此提高行動的速度和效率。同樣的策略應用到 APT攻擊,其效果甚至更好,因為這樣可以讓不同階段之間彼此不互相重疊,如此一來,系統管理員在事後分析網路時就無法察覺其不同階段之間的關聯。雖然APT攻擊行動的每一個階段都是達成最後目標的關鍵,但仍有些階段所占的比重較高。
駭客會在整個網路上設置多個不同的後門,以便能夠輕易進出目標網路
第四階段的橫向移動需要隱密和觀察的技巧。這階段需要同時具備社交工程(social engineering )技巧與駭客能力,才能在目標環境當中迅速移動而不被察覺。橫向移動對於安排最後資料外傳階段的布局至關重要。不斷地在不同端點裝置之間移動,可以讓駭客完整掃瞄整個網路,並且找到最珍貴的資料。此外,這個階段通常需要一直不斷重覆,因此,駭客會在整個網路上設置多個不同的後門,以便能夠輕易進出目標網路,必要時進一步竊取更多資料。
企業通常會有系統管理員和資安軟體來持續監控內送及外送網路流量,因此,歹徒的 C&C 機制必須融入目標網路才行。想要暗藏在網路流量當中偷偷進出企業,歹徒必須結合惡意程式、駭客技能以及進階社交工程技巧。歹徒不只要知道如何駭入,還要知道何時駭入。大型的犯罪集團會在發動攻擊之前,先對目標進行長期的觀察和研究。為了使 C&C 伺服器不讓人起疑,駭客通常會使用一般常見的 IT 工具,如「PSExec」(一個用來取代 telnet 的遠端執行工具) 來執行其檔案,並在企業的營業時間連上 C&C 伺服器,如此,其網路連線才不會讓人起疑。除此之外,駭客還會利用惡意程式來將其連線偽裝成 HTTP 或 HTTPS 通訊以隱藏其行動,因為系統管理員不可能有時間檢查每一個觀察到流量,而資安軟體通常也無法偵測零時差攻擊。 繼續閱讀
若您讀過不少犯罪小說,或者看過不少動作影片,您對這樣的情節應該不會感到陌生:一位內部人員因為多年前所受到的屈辱而對企業展開報復,導致企業蒙受重大損失。企業內部人員通常站在正義的一方,但有時也會站在邪惡的一方。
這道理不難理解,因為內部人員非常清楚企業的做事方法、寶貴資料,以及遭受攻擊時的因應方式。誰能比內部人員更知道該如何攻擊企業本身?
然而這是假設「內部人員的威脅」無可避免。所幸,大多數人都不會想要毀掉自己所任職的企業。大多數人都希望自己所屬的機構能夠成長、茁壯。因此,除非您待的是國防單位,否則這點通常不是您要擔心的問題。
不過問題是,並非所有「內部人員的威脅」都是來自蓄意。內部人員也有可能因為不小心而造成資料外洩。社群網站為人們提供了許多新鮮有趣的溝通方式,但不幸的是,有時候也會讓一些「不該」透露的機密資訊外流。
若人們已經將資訊洩漏在網路上,那麼您還能利用社交工程(social engineering )從別人身上套出什麼更多資料?所謂的社交工程技巧,就是利用一些人際之間手段來讓別人照著您的意思去做。這是數千年來流傳已久的一門藝術,因此歹徒擅長這門藝術也就不令人訝異。
幾乎所有「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)一開始都是利用某種形態的社交工程技巧。因此,儘管不易,您應該盡可能防範這類攻擊。 繼續閱讀