Pawn Storm活动激增,锁定北大西洋公约组织(NATO)与美国白宫
一直长期活跃的Pawn Storm“高级持续性威胁”(Advanced PersistentThreat,以下简称APT攻击)活动在新的一年呈现爆炸性成长,植入了新的基础架构,同时也开始锁定北大西洋公约组织(NATO)会员国,甚至是美国白宫。这是趋势科技持续研究其背后黑客组织得到的最新情报,同时也是2014年10月份Pawn Storm研究报告的后续补充。
Pawn Storm 攻击活动:背景
PawnStorm是一项专门从事经济和政治间谍活动的攻击活动,其目标广泛,包括:军事、政府、国防工业、媒体等等。
该组织是由一群处心积虑的黑客构成,至少从2007年开始活跃至今,其犯案模式非常固定,我们为其所取的名称,是根据黑客联合搭配多种工具和手法来袭击单一目标的作法,与西洋棋中的Pawn Storm(小兵联合攻击)策略如出一辙。
该组织运用了三种非常容易辨别的攻击手法:第一种是发送含有恶意Microsoft? Office文件的网络诈骗性邮件,文件当中暗藏专门窃取数据的 SEDNIT、Sofacy恶意软件;第二种是在波兰政府的一些网站上植入某些漏洞攻击程序,让浏览者感染恶意软件;第三种则是利用网络诈骗性电子邮件来将用户诱导至假冒的Microsoft Outlook Web Access(OWA)登陆网页。
PawnStorm主要攻击对象为美国及其盟友的军事单位、政府机关和媒体机构,我们判断该组织也曾攻击俄罗斯异议团体以及那些和克里姆林宫作对的团体,此外,乌克兰激进团体与军事单位也在攻击之列,因此有人揣测该组织可能跟俄罗斯政府有所关联。
今年二月,趋势科技观察到Pawn Storm又有新的活动,并发现一个专门攻击Apple用户的iOS间谍程序。
Pawn Storm 的最新发展
该组织在2015年第一季活动频繁,最值得关注的是他们设立了数十个漏洞攻击网址与十几台新的幕后操纵(C&C)服务器,专门锁定北大西洋公约组织会员国以及欧洲、亚洲与中东国家的政府单位。
与以往手法不同的是,Pawn Storm还会发送精心特制的电子邮件来诱骗用户点击某个恶意链接。
(图1网络诈骗性邮件范例)
在其中一个案例中电子邮件的主题是有关欧盟发起的“南部天然气走廊”(Southern Gas Corridor)计划,该计划的目标就是希望能减少对俄罗斯天然气的仰赖。除此之外,还有一些和政治地缘相关的其他邮件主题,例如俄罗斯和乌克兰之间的冲突,以及欧洲安全与合作组织(OSCE)的“开放天空咨询委员会”(Open Skies ConsultativeCommission)。
这些电子邮件通常内含一个看似正常的新闻网站链接,一旦点击该链接,浏览器就会执行一段系统识别程序码,偷偷将用户的操作系统版本、时区、浏览器版本以及安装的插件等等信息传送给黑客。当系统满足某些特定条件时,这个假冒的新闻网站就会显示一个用户必须安装HTML5插件才能查看网站内容的消息,如果用户Linux系统此插件则是X-Agent或Fysbis间谍软件,若用户是Windows系统此插件则是Sednit恶意软件。
(图2恶意 HTML5 插件安装信息画面)
老掉牙的手法
PawnStorm黑客组织目前仍仰赖网络诈骗的手法,事实上,在2014年秋季,他们曾经设立一个假美国大型公司OWA邮箱,专门贩卖发电厂所需的核燃料。
(图3假冒的美国核燃料公司企业网站电子邮件登入网页)
我们不难想象若黑客成功入侵这样的企业将造成多么严重的后果,除此之外还有一些其他的假OWA服务器,包括专门针对两个欧洲北约会员国军事单位的新服务器,今年二月,我们也发现了假乌克兰北约联络处邮箱系统的网页。
美国白宫遭到袭击
该组织也正虎视眈耽地看着美国白宫,他们锁定了热门的社交网络博客,就在这些博客访问了奥巴马总统后四天后,于2015年1月26日发动Gmail网络诈骗性邮件攻击,这是一个典型的跳岛式攻击技巧,黑客攻击的不是最终目标,而是与最终目标有联络且安全防御较弱的企业或个人。
另一个类似的案例,一家美国大型新闻机构的知名军事发言人的个人邮箱在2014年12月也遭到同样的攻击,导致他很可能泄漏了自己的账号密码,随后,Pawn Storm攻击了该新闻机构大约55名员工的公司账号。
企业必须对这类攻击随时保持高度警戒,因为Pawn Storm黑客组织会大费周章地让其电子邮件看起来是合法的,美国、欧洲、亚洲国家的军事及政府单位必须设置适当的高级网络安全工具来封锁网络诈骗性攻击,防止恶意软件下载,并且提升用户的网络安全教育来降低攻击的危险。