在本系列的最後一篇,我們將詳細探討 APT33 駭客集團並提供我們專家團隊的一些資安建議。
石油天然氣產業依舊是駭客集團的主要目標,駭客的目的是要造成營運中斷並帶來損害。上一篇 (中篇) 我們討論了各種可能衝擊石油天然氣產業的威脅,包括:勒索病毒(勒索軟體,Ransomware)、DNS 通道和零時差漏洞攻擊(zero-day attack)。接下來,在本系列的最後一篇,我們將探討 APT33 駭客集團這個被視為許多石油產業及相關供應鏈遭到魚叉式網路釣魚 (Spear Phishing )攻擊背後的元凶。最後,我們將提出一些有助於石油天然氣公司強化網路資安架構的建議。
TeamTNT 駭客集團經常竊取 Amazon Web Services (AWS)、Docker 與 Linux Secure Shell (SSH) 的登入憑證,此外也從事其它惡意活動,包括在 Linux 裝置上挖礦或植入後門程式 (如 IRC 殭屍程式與遠端指令列腳本)。不過,該集團的攻擊範圍當時仍是個謎。趨勢科技在分析該集團的活動時發現了一個二進位檔案內含一段寫死的指令列腳本 (shell script) 專門用來竊取 AWS 登入憑證,進而掌握了該集團的攻擊範圍。
針對性攻擊/鎖定目標攻擊(Targeted attack ) 為何有本事能輕易將民間業者搞得天翻地覆,也能將政府搞得人仰馬翻?它跟 APT 攻擊有何差別?
如果以槍枝作比較,「針對性目標攻擊」是一般手槍;而「APT攻擊」是最高科技軍規步槍。
針對性攻擊/鎖定目標攻擊 ( Targeted attack,以下簡稱針對性目標攻擊 ) 的三個特性:
1.非亂槍打鳥,有具體攻擊目標,花長時間布局2.主要目的是滲透目標網路和竊取資訊3.非短暫攻擊,而是持久戰,攻擊者花費相當大的努力確保攻擊在一開始滲透網路並取出資料後能夠繼續下去。
針對性目標攻擊並非自動化、機會主義或無差別式的攻擊,該攻擊是深思熟慮、有目的性且持久性的攻擊。而且往往過了數年才被發現,且事件爆發時已經有數千甚至數百萬的客戶紀錄或資料被竊。雖然針對性目標攻擊在某種程度上也帶有金錢動機,但其攻擊的主要目標總是在竊取資訊。比如常見的資料外洩事件新聞: Sony被駭、Target資料外洩和Ashley Madison偷情網站入侵事件。
就如它們在新聞中所聽起來的那樣驚人跟破壞性,資料外洩本身並不足以描繪整個故事。 針對性目標攻擊所做的比扳倒大公司還要多,它們也用在對付國家及其政府機構的網路間諜活動。
針對性目標攻擊常跟「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)聯想在一起,事實上兩者是有差異的。如果以槍枝作比較,「針對性目標攻擊」是一般手槍;而「APT攻擊」是最高科技軍規步槍-在複雜度、工程性和使用者上有所不同。
APT攻擊是使用自製程式碼與工具的攻擊 — 不只是像針對性目標攻擊是由駭客所製造的那樣,而是來自一群有才華、有領薪水的工程師。APT 攻擊也可能是國家贊助的攻擊 — 這代表它們背後實際上是政府,而不像是針對性目標攻擊的背後是一小群駭客。
APT攻擊的規模和火力跟針對性攻擊/鎖定目標攻擊(Targeted attack )比起來都更為嚴重,並且只針對真正的大目標,像是國防承包商和其他政府機構。跟 針對性目標攻擊Targeted attack )比起來,企業可能比較不需要加以擔心,但最好還是兩者都加以防範,以防萬一。
像趨勢科技Deep Discovery威脅保護平臺這樣的解決方案可以讓企業偵測、分析和回應複雜的惡意軟體、 針對性目標攻擊(Targeted attack )和APT攻擊等現代威脅。
激進駭客主義(hacktivism)或激進主義相關的駭客攻擊跟針對性目標攻擊不同,因為前者有著一次性與破壞性質。他們往往更像是非法騷擾 — 不那麼有害而比較容易處理,就像是在牆壁塗鴉一樣。激進駭客攻擊往往不會出現網路滲透,很少或沒有出現資訊竊取。
他們也會以誇張的做法來追求最大的能見度 — 目的是被看見,而非針對性目標攻擊那樣設計成不被注意到。
針對性攻擊/鎖定目標攻擊(Targeted attack )跟網路犯罪活動的最大區別是範圍。網路犯罪活動的目的是在最短時間(在資安公司反應前)內盡可能找到最多受害者。
而另一方面, 針對性目標攻擊行動的範圍十分限縮 — 通常將目標限制在一家公司或組織。有時範圍甚至會進一步縮小到組織中的特定員工或一小撮員工。所有的工作、努力跟研究都是為了確保目標上鉤落入他們的圈套 — 然後讓他們得以進入目標網路。
繼續閱讀
曾經遭遇資料外洩駭客事件的企業,通常都有一個同樣的疑惑:「駭客是如何在我的環境當中長期躲藏而不被發現?」根據 Mandiant 的一份報告,在所有資料外洩事件當中,駭客平均躲藏的天數是 205 天。每一起資料外洩駭客事件背後都有一位或多位主謀,而且現在越來越難逮到這位幕後的主謀。
APT攻擊駭客團體特別擅長隱匿行蹤
在所有駭客攻擊當中,最有能力在企業網路內部四處躲藏及遊走的,應該是「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)。這些攻擊之所以被稱為「進階」,是因為駭客運用了零時差漏洞;之所以能夠「持續滲透」,是因為駭客有著強烈的動機。其高超的技巧,對全球的企業來說都是一項嚴重威脅。這些APT攻擊駭客團體就如同一般的犯罪集團一樣,有著組織性犯罪的特質,而且特別擅長隱匿行蹤。
他們有統一的指揮管道,而且要擒拿這些行動背後的首腦相當困難,尤其是當他們躲藏在國外的時候。事實上,許多政治取向的APT攻擊團體通常都有政府在背後支援,而這些政府當然不可能配合執行違反其意志的政策。即使我們可以從攻擊行動所使用的網址來追溯到某個地區,但該網址註冊的 DNS 和 IP 服務廠商通常也不願配合國外的執法機關,因為他們向來聽命於當地政府。正因如此,那些由政府在背後撐腰的駭客,就能一再發動惡意攻擊而不會遭到任何懲罰。在低風險、高報酬的條件下,他們會不斷從過去的失敗當中記取教訓,因此每一次都比上一次的行動更加小心謹慎。
APT攻擊共有六個階段,每一階段由一組專門的駭客負責
有一點很重要是我們必須知道的,企業網路內的橫向移動只是APT攻擊的其中一個階段而已。事實上,典型的APT攻擊共有六個階段:(1) 情報蒐集、(2) 突破防線、(3) 幕後操縱 (C&C)、(4) 橫向移動、(5) 搜尋資產、(6) 資料外傳。有組織的APT攻擊團體通常會將工作依照行動階段來分工合作,每一階段由一組專門的駭客負責,並有其獨特的工具和技巧。這樣的作法在大型犯罪集團已行之有年,目前也開始運用到網路犯罪領域。
人們通常會過於執著在技術上的細節,而忘了其實 APT攻擊團體跟傳統非電腦犯罪的專業集團有許多相似之處。就以持槍搶劫銀行的例子來說,不同的搶匪會依據個人的專長而分別擔任不同的工作,藉此提高行動的速度和效率。同樣的策略應用到 APT攻擊,其效果甚至更好,因為這樣可以讓不同階段之間彼此不互相重疊,如此一來,系統管理員在事後分析網路時就無法察覺其不同階段之間的關聯。雖然APT攻擊行動的每一個階段都是達成最後目標的關鍵,但仍有些階段所占的比重較高。
駭客會在整個網路上設置多個不同的後門,以便能夠輕易進出目標網路
第四階段的橫向移動需要隱密和觀察的技巧。這階段需要同時具備社交工程(social engineering )技巧與駭客能力,才能在目標環境當中迅速移動而不被察覺。橫向移動對於安排最後資料外傳階段的布局至關重要。不斷地在不同端點裝置之間移動,可以讓駭客完整掃瞄整個網路,並且找到最珍貴的資料。此外,這個階段通常需要一直不斷重覆,因此,駭客會在整個網路上設置多個不同的後門,以便能夠輕易進出目標網路,必要時進一步竊取更多資料。
企業通常會有系統管理員和資安軟體來持續監控內送及外送網路流量,因此,歹徒的 C&C 機制必須融入目標網路才行。想要暗藏在網路流量當中偷偷進出企業,歹徒必須結合惡意程式、駭客技能以及進階社交工程技巧。歹徒不只要知道如何駭入,還要知道何時駭入。大型的犯罪集團會在發動攻擊之前,先對目標進行長期的觀察和研究。為了使 C&C 伺服器不讓人起疑,駭客通常會使用一般常見的 IT 工具,如「PSExec」(一個用來取代 telnet 的遠端執行工具) 來執行其檔案,並在企業的營業時間連上 C&C 伺服器,如此,其網路連線才不會讓人起疑。除此之外,駭客還會利用惡意程式來將其連線偽裝成 HTTP 或 HTTPS 通訊以隱藏其行動,因為系統管理員不可能有時間檢查每一個觀察到流量,而資安軟體通常也無法偵測零時差攻擊。 繼續閱讀