網路資訊/APT攻擊變臉術
作/羅伯特
進階持續威脅在動機、惡意與精緻細膩度等各種層面上皆有所進化,您已經準備好要阻止這瘋狂的場面了嗎?
今年稍早,某小型航空公司要求AccessData(一家鑑識與安全公司),調查其在檔案共享服務供應商Box.com上的資料是如何憑空消失的。
AccessData拒絕透露這個委託案的苦主,而該航空公司已接到來自檔案共享服務供應商旗下業務團隊的來電,詢問是否要進行Box公司企業級服務帳號的升級作業。
唯一的問題是:該公司並未正式與Box公司簽約。
AccessData的調查顯示出,惡意程式已入侵劫持了該公司 6名員工的電腦,並且爲這些人在雲端服務上分別建立了帳號。從那時起,惡意攻擊者便建立了上傳與下載資料的基地。「流向Box.com的流量似乎一點問題都沒有,所以就攻擊者的觀點而言,實在妙透了,」AccessData資深鑑識顧問 Jordan Cruz表示。
這類目標式攻擊 (Targeted Attack),有時會歸類在進階持續威脅(Advanced Persistent Threats, APT)的分類標題下,並且有越來越多被運用在獲得專屬及機密企業資料的存取權上。攻擊者讓他們的戰略越趨完善,有時透過公有云端服務,來規避會對可疑封包貼上標記的監控機制。
AccessData並非唯一發現這類攻擊戰略的安全廠商,安全威脅情報公司CyberSquared宣佈,已發現被稱爲Comment Crew或APT1的中國間諜集團,曾透過Dropbox作爲傳遞惡意程式的中介線上快取。
APT不斷提升其精緻細膩度,已經沒什麼好意外的了。當網路犯罪者採用目標式攻擊來劫持重要或難以入侵的目標時,這類低姿態、高衝擊性的惡意行動,已經成爲專門鎖定智慧財產權,以及國家最高機密資料攻擊者的標誌與特色。
在過去5年以來,目標式攻擊早已蔚爲潮流,同時攻擊者透過各種類型之勘察(reconnaissance)、漏洞入侵(exploitation)與開採資料(mining)的手法,改善、精進其對受害者的網路攻擊。
不僅如此,發展網路攻擊行動的國家,已經擴大超出原本的美國、中國、俄羅斯與另外6個國家,例如英國與以色列等國,莫不爭先恐後地展開線上情報蒐集行動。
「宿醉行動」(Operation Hangover),是一個最近被發現專門鎖定巴基斯坦、挪威、美國、中國與其他國家的間諜網路,該團體似乎來自於印度。同時,許多以南韓基礎設施爲目標的攻擊,多半具備北韓網路攻擊的特徵。此外,攻擊者不但精進其技術,同時也擴大其攻擊範圍與目標。
APT儼然變得更加普遍,透過像是Poison Ivy與黑洞漏洞攻擊套件 (Black Hole exploit kit)等既有攻擊工具與技術,即使是沒什麼技術可言的攻擊者,都可以成功地滲透、突破大部分目標公司的防禦體系,賽門鐵克(Symantec)北美行動安全迴應經理Liam O’Murchu表示。
「這一些目標式攻擊,儘管他們稱之爲『APT』,但事實上他們所採用的工具並沒有那麼精緻複雜,」 O’Murchu認爲:「這些攻擊具有非常先進的特性,是指他們以零時差等攻擊手法入侵目標公司。一旦成功入侵,他們便開始使用很普通的攻擊工具。」
各國另類的強勢外交
APT最引人注目的趨勢之一,莫過於成爲開發中國家的最愛。儘管中國早已是引領這股風潮的龍頭,但舉凡從伊朗到馬來西亞,再到非洲、南美洲諸國等其他國家,莫不積極打造專門存取其他各國敏感資訊,以及跨國企業智慧財產權的專屬團隊。
安全事件迴應管理方案商 Mandiant安全長Richard Bejtlich指出,前述所提及駭客工具的可存取性,以及開發中國家從暗中偵察工業化國家,所獲取的潛在回報,已逐漸與網路間諜(Cyber Espionage)活動的規則相融合,成爲民族國家級行動中的定則而非特例。
在許多案例中,開發中國家第一次接觸到網路間諜活動,並淪爲該戰略下的受害者,就是在被較大的國家基於情報搜尋而加以鎖定的時候。這些勢力較弱的國家很快地也採取了相同的戰略,使得網路間諜活動成爲蒐集資訊的公認做法。
例如,伊朗開始大力推動自我網路間諜能力,成爲在遭到Stuxnet超級蠕蟲與火焰(Flame)病毒鎖定攻擊後,一個「不容忽視的力量」,美國空軍網路戰最高指揮官Gen. William Shelton於今年初表示。同樣的,北韓也開始全面提升自我網路戰能力,其動機來自於美國與南韓對北韓的攻擊行動。
而中國全面性的網路攻擊,似乎也引起了受害者的反彈。中國早已對非洲及南美諸國,採取蒐集情報的網路間諜行動,這些國家在備感壓力之餘,紛紛發展出自己的網路戰能力, Mandiant公司的 Bejtlich表示。
「透過竊取其他人的研發成果,然後再用於自己開發之行徑,進而加速自身經濟運作的想法,將會變得更加普遍,」他表示:「透過數位手段來獲得這些資訊,似乎成爲最便宜、最快速與最精確的做法。」
想對專門製造並發動APT攻擊的團體加以追蹤,依舊是困難重重。安全威脅情報公司致力於將攻擊歸因於某團體,但卻很難釐清該團體到底是單獨作業,還是代表了某政府或公司的利益,Intel子公司安全方案商McAfee資深副總裁Pat Calhoun表示。
「我們已和許多執法單位合作,同時能對一些案例中的攻擊行動,追蹤源頭到一羣資金雄厚的個體組織,」Calhoun指出:「但到底是誰出資發起的,卻很難判定。」
攻擊者所留下的數位軌跡,可能會成爲當局政府、公司或駭客集團僱用的依據,安全服務公司 CrowdStrike聯合創辦人暨技術長Dmitri Alperovitch指出。
「在這個國度中,想要掌握國防承包商,實在是不足爲奇的事情。」 Alperovitch表示,並將這些組織稱之爲:「網路黑水,亦即專門建立漏洞攻擊與惡意程式,甚至是以政府爲名義展開行動的國防承包商。」