网路资讯／APT攻击变脸术

作／罗伯特

进阶持续威胁在动机、恶意与精致细腻度等各种层面上皆有所进化，您已经准备好要阻止这疯狂的场面了吗？

今年稍早，某小型航空公司要求AccessData（一家鉴识与安全公司），调查其在档案共享服务供应商Box.com上的资料是如何凭空消失的。

AccessData拒绝透露这个委托案的苦主，而该航空公司已接到来自档案共享服务供应商旗下业务团队的来电，询问是否要进行Box公司企业级服务帐号的升级作业。

唯一的问题是：该公司并未正式与Box公司签约。

AccessData的调查显示出，恶意程式已入侵劫持了该公司 6名员工的电脑，并且为这些人在云端服务上分别建立了帐号。从那时起，恶意攻击者便建立了上传与下载资料的基地。「流向Box.com的流量似乎一点问题都没有，所以就攻击者的观点而言，实在妙透了，」AccessData资深鉴识顾问 Jordan Cruz表示。

这类目标式攻击 (Targeted Attack)，有时会归类在进阶持续威胁(Advanced Persistent Threats, APT)的分类标题下，并且有越来越多被运用在获得专属及机密企业资料的存取权上。攻击者让他们的战略越趋完善，有时透过公有云端服务，来规避会对可疑封包贴上标记的监控机制。

AccessData并非唯一发现这类攻击战略的安全厂商，安全威胁情报公司CyberSquared宣布，已发现被称为Comment Crew或APT1的中国间谍集团，曾透过Dropbox作为传递恶意程式的中介线上快取。

APT不断提升其精致细腻度，已经没什么好意外的了。当网路犯罪者采用目标式攻击来劫持重要或难以入侵的目标时，这类低姿态、高冲击性的恶意行动，已经成为专门锁定智慧财产权，以及国家最高机密资料攻击者的标志与特色。

在过去5年以来，目标式攻击早已蔚为潮流，同时攻击者透过各种类型之勘察(reconnaissance)、漏洞入侵(exploitation)与开采资料(mining)的手法，改善、精进其对受害者的网路攻击。

不仅如此，发展网路攻击行动的国家，已经扩大超出原本的美国、中国、俄罗斯与另外6个国家，例如英国与以色列等国，莫不争先恐后地展开线上情报搜集行动。

「宿醉行动」(Operation Hangover)，是一个最近被发现专门锁定巴基斯坦、挪威、美国、中国与其他国家的间谍网路，该团体似乎来自于印度。同时，许多以南韩基础设施为目标的攻击，多半具备北韩网路攻击的特征。此外，攻击者不但精进其技术，同时也扩大其攻击范围与目标。

APT俨然变得更加普遍，透过像是Poison Ivy与黑洞漏洞攻击套件 (Black Hole exploit kit)等既有攻击工具与技术，即使是没什么技术可言的攻击者，都可以成功地渗透、突破大部分目标公司的防御体系，赛门铁克(Symantec)北美行动安全回应经理Liam O’Murchu表示。

「这一些目标式攻击，尽管他们称之为『APT』，但事实上他们所采用的工具并没有那么精致复杂，」 O’Murchu认为：「这些攻击具有非常先进的特性，是指他们以零时差等攻击手法入侵目标公司。一旦成功入侵，他们便开始使用很普通的攻击工具。」

各国另类的强势外交

APT最引人注目的趋势之一，莫过于成为开发中国家的最爱。尽管中国早已是引领这股风潮的龙头，但举凡从伊朗到马来西亚，再到非洲、南美洲诸国等其他国家，莫不积极打造专门存取其他各国敏感资讯，以及跨国企业智慧财产权的专属团队。

安全事件回应管理方案商 Mandiant安全长Richard Bejtlich指出，前述所提及骇客工具的可存取性，以及开发中国家从暗中侦察工业化国家，所获取的潜在回报，已逐渐与网路间谍(Cyber Espionage)活动的规则相融合，成为民族国家级行动中的定则而非特例。

在许多案例中，开发中国家第一次接触到网路间谍活动，并沦为该战略下的受害者，就是在被较大的国家基于情报搜寻而加以锁定的时候。这些势力较弱的国家很快地也采取了相同的战略，使得网路间谍活动成为搜集资讯的公认做法。

例如，伊朗开始大力推动自我网路间谍能力，成为在遭到Stuxnet超级蠕虫与火焰(Flame)病毒锁定攻击后，一个「不容忽视的力量」，美国空军网路战最高指挥官Gen. William Shelton于今年初表示。同样的，北韩也开始全面提升自我网路战能力，其动机来自于美国与南韩对北韩的攻击行动。

而中国全面性的网路攻击，似乎也引起了受害者的反弹。中国早已对非洲及南美诸国，采取搜集情报的网路间谍行动，这些国家在备感压力之余，纷纷发展出自己的网路战能力， Mandiant公司的 Bejtlich表示。

「透过窃取其他人的研发成果，然后再用于自己开发之行径，进而加速自身经济运作的想法，将会变得更加普遍，」他表示：「透过数位手段来获得这些资讯，似乎成为最便宜、最快速与最精确的做法。」

想对专门制造并发动APT攻击的团体加以追踪，依旧是困难重重。安全威胁情报公司致力于将攻击归因于某团体，但却很难厘清该团体到底是单独作业，还是代表了某政府或公司的利益，Intel子公司安全方案商McAfee资深副总裁Pat Calhoun表示。

「我们已和许多执法单位合作，同时能对一些案例中的攻击行动，追踪源头到一群资金雄厚的个体组织，」Calhoun指出：「但到底是谁出资发起的，却很难判定。」

攻击者所留下的数位轨迹，可能会成为当局政府、公司或骇客集团雇用的依据，安全服务公司 CrowdStrike联合创办人暨技术长Dmitri Alperovitch指出。

「在这个国度中，想要掌握国防承包商，实在是不足为奇的事情。」 Alperovitch表示，并将这些组织称之为：「网路黑水，亦即专门建立漏洞攻击与恶意程式，甚至是以政府为名义展开行动的国防承包商。」