借港大校友之名發動攻擊:中國 APT 集團群攻香港傳媒
一直以來,傳媒都是黑客的攻擊目標,事關傳媒的電郵之中擁有大量屬於某些人士的機密資料;加上他們所依賴的資訊來源相當複雜,因此容易成為被攻擊的目標。記者所掌握的資訊和資訊來源可以成為有價值的情報。由於沒有適當的技術防禦,所以他們容易受害,而這些正正就是始作俑者所希望得到的。
今天安全廠商 FireEye 發現,一個中國網路威脅團體(被稱為”admin@338″)近期發動的一次攻擊活動的目標都是總部在香港的媒體組織。
圖 1:admin@338 發送給記者的魚叉式網路釣魚電郵螢幕截圖
8 月份,該團體向總部在香港的媒體組織(包括報紙、廣播和電視台等的機搆)發送了有新聞價值的事件進展情況的魚叉式網路釣魚電郵 (spear phishing)和惡意附件。其中一封電郵提及了一個基督教公民社會組織的創立,以圖製造與 2014 年在香港發生的抗議活動「雨傘運動」周年紀念的巧合。另一封電郵則提及了一個香港大學校友會擔心在任命副校長的公民投票活動中,副校長將由親北京的利益團體進行指派。
該團體利用一個可以濫用 Dropbox(一種合法的雲存儲服務)並名為 LOWBALL 的惡意軟體來進行命令和控制。在 FireEye 的研究者向 Dropbox 發出應防範該團體活動的警告後,Dropbox 迅速封鎖了 LOWBALL 所使用的權限。這樣一來,Dropbox 破壞了該團體在該惡意軟體的所有已觀察到的版本中的命令和控制能力。
FireEye 已觀察到多個中國威脅團體對在亞洲的國際和國內媒體組織的記者發起針對性的攻擊。這些攻擊通常集中於總部在香港的媒體,尤其是那些發佈支援民主資訊的媒體。位於台灣、東南亞和其他地區的記者亦一度是攻擊目標。
安全專家從 2013 年起開始跟蹤 admin@338 的活動。該團體主要的攻擊目標是財政、經濟和貿易政策等組織。2015 年 4 月首次觀察到該團體正在瞄準媒體機搆。
該團體之前針對財政和政策組織的攻擊活動主要是利用英文撰寫的、指定給西方受眾閱讀的魚叉式網路釣魚電郵 (spear phishing)。然而,這次攻擊活動明顯是針對繁體中文(香港通用的文稿語言)的讀者而策劃的。
在 4 月份,安全組識發佈了一份 APT30 報告,APT30 是一個與中國有聯繫的團體,該組織進行了長達 10 年的針對東南亞和印度的網路間諜活動。APT30 還以記者為攻擊目標,但暫時還沒有觀察到該組織和 admin@338 之間有任何直接聯繫。