亞太區成目標:臥底黑客潛伏企業網絡盜竊資料
「臥底」,睇戲睇得多,但原來在網絡世界之中,黑客亦採用了臥底的行事方式,並潛伏於企業網絡之中,以便盜竊資料。而亞太區的企業近年來亦成為熱門目標。根據一份由趨勢科技發布的 2014 上半年「亞太地區鎖定目標攻擊發展趨勢」報告指出,專門鎖定亞太地區的黑客正不斷改良其鎖定目標攻擊手法,以便長期潛伏在企業內部。
此外,歹徒也將一些軟件及應用程式的舊有漏洞盡量利用。安全專家更進一步預言,亞太地區鎖定目標攻擊活動的大小及規模正不斷提高,2015 年很可能成為鎖定目標攻擊成熟之年。
根據這份最新報告,魚叉式網絡釣魚電郵仍是歹徒最常用的網絡滲透工具,有將近 80% 的鎖定目標攻擊惡意程式都是透過電郵進入企業。一般來說,其收件人都是目標企業的員工,魚叉式網絡釣魚電郵會引誘收件人點選某個惡意連結,或者下載某個惡意檔案來執行。這些電郵最常挾帶的附件檔案類型為 Microsoft Office 文件 (57%) 及 RAR 檔案 (19%),因為這類檔案在企業內相當普遍。另一項歹徒經常用來滲透目標企業網絡的技巧是入侵該企業員工經常造訪的網站並設下陷阱,然後等候員工造訪這些網站時感染其電腦系統。
零時差漏洞攻擊以及經過長時間驗證的漏洞攻擊,都曾出現在鎖定目標攻擊當中。這些舊的漏洞之所以仍然有效,是因為該地區的 IT 人員有時會為了害怕營運關鍵應用程式中斷而選擇不套用安全更新。例如,今年稍早歹徒即利用了 Windows XP 終止支援之後所留下來的漏洞對一些大使館發動鎖定目標攻擊。歹徒最常攻擊 Microsoft Office (53%) 及 Adobe Reader (46%) 的軟件漏洞。
鎖定目標攻擊當中最常用的惡意程式為木馬程式或木馬間諜程式 (53%)、其次是後門程式 (46%)。後門程式通常用於建立幕後操縱通訊及執行遠端指令,而木馬和木馬間諜程式則用於下載最終的惡意檔案並且將資料外傳。
2014 上半年較重大的攻擊行動包括:
Siesta – 該行動的名稱由來 (Siesta 在西班牙文是「小睡」的意思),是因為其惡意程式最後會收到睡眠指令,然後在系統當中潛伏一段時間,藉此躲避偵測。該行動會假冒來自同事的電郵,將電郵寄到選定目標企業的高層主管手中,內含看似正常的惡意連結。
ESILE – 該行動專門攻擊亞太地區政府機關,透過魚叉式網絡釣魚電郵散布,並且使用醫療、稅務等各種社交工程誘餌。這些電郵內含一個看似無害的文件,但當該文件開啟時卻會在背後執行惡意檔案。
亞太地區 2014 上半年至今仍在活躍當中鎖定目標攻擊行動還有:IXESHE、PLEAD、ANTIFULAI 和 Taidoor。
鎖定目標攻擊在今年至今所造成的破壞顯示,企業對此類攻擊仍缺乏正確認識。其中一項錯誤觀念就是認為鎖定目標攻擊是一次性攻擊,但事實上,鎖定目標攻擊是一種計劃周詳且鍥而不捨的攻擊,不成功絕不罷休。今日企業需要一套按需求打造的防禦策略才能有效加以反制,這套策略應運用進階威脅偵測技術,並且在各防護之間共用威脅情報,才能偵測、分析、回應這類一般標準防護方案無法偵測的攻擊。