趋势科技:Pawn Storm集火网路宣传 常用三种攻击招数
《回顾 Pawn Storm二年来的发展:审视这项日益严重的威胁》这份由趋势科技所发布的资安威胁研究报告指出, Pawn Storm (或名为 Fancy Bear、APT28)这个从 2004 年活跃至今的激进骇客间谍组织,企图用各种手段从攻击目标窃取重要资讯,显示出「地缘政治影响」是其国内外间谍活动的主要动机,而非金钱利益。
趋势科技资深威胁研究专家 Fyodor Yarochkin 表示,Pawn Storm 在过去两年内将攻击火力重心聚焦于网路宣传活动(Cyber Propaganda),光是 2016 年就成长了 400% 的目标攻击。目前已知受害对象包含美国民主党全国代表大会、德国基督教民主党、土耳其国会和政府机关、世界反运动禁药机构、New York Times、半岛电视台(Al Jazeera)及其他多家机构。
在早期,Pawn Storm 主要锁定政府机构、军队进行国家渗透性的网路间谍活动;然而现在他们把攻击目标扩及全球不同产业与企业组织,甚至连一般公民的自由意志皆有可能受到该组织于背后的国内外舆论操纵所影响。例如,2016 年,该团体主动联系德国明镜周刊(Der Spiegel),并提供世界反运动禁药机构(WADA)和美国反禁药组织(USADA)上百封的内部邮件资料,引爆后续俄国体坛禁药疑云风波,动摇人民想法与国家威信。
该报告介绍了三种 Pawn Storm 最爱用的攻击招术,包含「凭证授权钓鱼诈骗(Credential Phishing Campaigns)」,利用开放验证(OAuth)机制来从事进阶社交工程诈骗,骇客首先骗过 Google 或 Yahoo 这类服务供应商的背景审查,再来发送邮件给组织高层或重要人物,建议其安装带有恶意程式的应用服务,如安装他们假造的 Google Defender、McAfee Email protection 等。
再来是「鱼叉式钓鱼邮件诈骗(Spear-Phishing Campaigns)」,骇客为寄送带有恶意附档文件或是恶意连结的邮件给目标对象,再来利用吸引人的内容来引诱其下载或点选。最后是「水坑式攻击手法(Watering Hole Attacks)」,因为入侵目标对象经常浏览的合法网站,这些网站已被他们植入恶意程式码,受害对象接着会被导入恶意网站,Pawn Storm再利用恶意程式来进行勘查活动,检视目标对象执行中的任务、网域、共享资料夹、使用者资讯等等。
趋势科技更预测,Pawn Storm 于 2016 干扰美国总统大选而多次登上媒体版面,逐渐因受到媒体关注而更加胆大妄为,在接下来的几个月可能会有更加活跃的骇客行动。如同所有机构组织,政治团体也应从高层人员至伺服器机房,所有人员都必须同心协力保护机密资讯安全,否则智慧财产和机密资料一旦落入不肖之徒手中,绝对不会有好下场。