深入駭客組識 Pawn Storm:主要從事間諜活動而非為金錢利益
深入駭客組識 Pawn Storm:主要從事間諜活動而非為金錢利益
如果大家有留意開駭客組織的話便一定有聽過名為 Pawn Storm 這個駭客組織,而近日資安機構趨勢科技便對其進行了調查,結果顯示 Pawn Storm(或名為 Fancy Bear、APT28)這個從 2004 年活躍至今的激進駭客間諜組織,用盡各種手段試圖從攻擊目標竊取重要資訊,他們的攻擊活動顯示出「地緣政治影響」是其國內外間諜活動的主要動機,而非金錢利益。
專家發現 Pawn Storm 在過去兩年將攻擊火力重心聚焦於網路宣傳活動(Cyber Propaganda),光是 2016 年就成長了 400% 的目標攻擊,目前已知受害對象包含美國民主黨全國代表大會、德國基督教民主黨、土耳其國會和政府機關、世界反運動禁藥機構、New York Times、半島電視台 (Al Jazeera)及其他多家機構。
在早期,Pawn Storm 主要鎖定政府機構、軍隊進行國家滲透性的網路間諜活動;然而現在,他們把攻擊目標擴及全球不同產業與企業組織,甚至連一般公民的自由意志皆有可能受到 Pawn Storm 於背後的國內外輿論操縱所影響。
2016 年,專家亦發現該團體企圖影響選情或公眾觀點,並利用盜取得來的機密資訊以操縱、影響主流媒體報導,部分主流媒體已證實此類「獨家資訊」來源自 Pawn Storm 團體間接或直接地提供,例如:2016 年,該團體主動連繫德國明鏡週刊(Der Spiegel),並提供世界反運動禁藥機構(WADA)和美國反禁藥組織(USADA)上百封的內部郵件資料,引爆後續俄國體壇禁藥疑雲風波,動搖人民想法與國家威信。Pawn Storm 頻繁利用不同的網路釣魚手法來騙取帳號登入資訊,「報告:回顧 Pawn Storm 二年來的發展:審視這項日益嚴重的威脅」介紹了三種該團體愛用的攻擊招術:
-憑證授權釣魚詐騙(Credential Phishing Campaigns):該手法是為利用開放驗證 (Open Authentication,簡稱 OAuth)機制來從事進階社交工程詐騙,使用者通過 OAuth 即可不必提供帳號密碼,也可以授權第三方應用程式存取雲端服務帳號,而此種方便的做法卻同時也能讓駭客取得並登入使用者郵件或社群網站等帳號以瀏覽重要資訊,駭客首先騙過 Google 或 Yahoo 這類服務供應商的背景審查,再來發送郵件給組織高層或重要人物,建議其安裝帶有惡意程式的應用服務,如安裝他們假造的 Google Defender、McAfee Email protection (Yahoo) 等。
-魚叉式釣魚郵件詐騙(Spear-Phishing Campaigns):此類手法是為寄送帶有惡意附檔文件或是惡意連結的郵件給目標對象,再來利用吸引人的內容來引誘其下載或點選,目前已知案例有使用與來自 CNN、半島電視台(Al Jazeera)、赫芬頓郵報(Huffington Post)或其他真實媒體報導的相同新聞標題來誘騙使用者點擊惡意連結。
-水坑式攻擊手法(Watering Hole Attacks):該手法為入侵目標對象經常瀏覽的合法網站,這些網站已被他們植入惡意程式碼,受害對象接著會被導入 Pawn Storm 的惡意網站,Pawn Storm 再利用惡意程式來進行勘查活動,檢視目標對象執行中的任務、網域、共享資料夾、使用者資訊等等。
趨勢科技預測 Pawn Storm 在 2017 年接下來的幾個月,可能會有更加活躍的駭客行動,目前於三、四月間已持續發現針對正值競選期間的歐洲國家如:法國、德國和挪威等進行網路釣魚攻擊行動,像是德國的艾德諾基金會(Konrad-Adenauer-Stiftung)與法國的總統候選人馬克宏(Emmanuel Macron)競選團隊皆成為其攻擊目標,Pawn Storm 逐漸因受到媒體關注而更加膽大妄為,2016 年他們因為干擾美國總統大選而多次登上媒體版面,專家預測未來類似的攻擊將屢見不鮮,如同所有機構組織,政治團體也應從高層人員至伺服器機房,所有人員都必須同心協力保護機密資訊安全,否則智慧財產和機密資料一旦落入不法之徒手中,絕對不會有好下場。為了因應 Pawn Storm 各式各樣的攻擊手法,專家為企業與組織提供資安防護做法:
-軟硬體資產管理:請勿將重要的管理系統暴露於公開網路上,並隨時保持軟體更新與漏洞修補,以降低受攻擊機率,且最好維持網域名稱的最低數量,集中管理公司郵件伺服器,而為了預防 DNS 網域遭駭,也建議採用信譽良好且提供 DNS 管理帳號雙重認證機制的註冊商服務,並定期安排包含社交工程等的網路安全測試。
-加強員工資安意識:當員工於海外旅遊或出差時,應讓他們攜帶無存有機密文件的電腦,且針對這些位於遠方的員工,也應要求其使用公司內部 VPN 登入系統;企業也有責任教導員工妥善管理他們個人免費郵件與社群網站帳號,告知其勿使用個人帳戶於工作用途,而在使用公司內部郵件帳戶時,也盡量不要將敏感機密資料留存於信箱中,且任何需傳送機密資料都應經過加密流程,並善用雙重認證機制或使用如 USB 的實體安全密鑰。