火眼公司周六表示,一組疑似來自中國的黑客一直針對(duì)印度有關(guān)邊界爭端和貿(mào)易事物的目標(biāo)盜取信息,此黑客組織尋求的是地緣政治信息。
該安全公司亞太區(qū)首席技術(shù)官布萊斯·博蘭稱:此黑客團(tuán)伙專精于向受害者發(fā)送針對(duì)性釣魚電子郵件以期獲取目標(biāo)網(wǎng)絡(luò)更大范圍的訪問權(quán),也就是所謂的魚叉式網(wǎng)絡(luò)釣魚。
火眼公司尚未為此黑客團(tuán)伙命名,但自2011年起便一直觀察此組織。
博蘭稱:基于該組織針對(duì)公司客戶的攻擊嘗試,公司收集了該黑客組織的大量數(shù)據(jù)。通過分析該組織使用的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施,包括命令和控制服務(wù)器,公司洞察了該黑客組織的業(yè)務(wù)范圍。
他說:“有時(shí)候,我們發(fā)現(xiàn),不僅僅是我們的客戶遭受攻擊,還有很多其他組織也是他們的目標(biāo),并且一直承受著他們頻繁的信息竊取。”
最近的一些魚叉式釣魚郵件中會(huì)帶有微軟Word文檔附件,附件中包含一個(gè)目前已經(jīng)打了補(bǔ)丁的2012年的Word漏洞利用。
該漏洞“相當(dāng)古老”,但只要目標(biāo)公司尚未打上補(bǔ)丁,依然十分有效。
博蘭說:“大多數(shù)情況下,亞洲多數(shù)政府在網(wǎng)絡(luò)安全防御能力上都相對(duì)不成熟。他們目前在補(bǔ)丁管理上還十分落后低效。”
只要一個(gè)用戶被攻破,該黑客團(tuán)伙的攻擊者們就會(huì)用一個(gè)名為WATERMAIN的腳本文件利用Windows管理規(guī)范(WMI)探測主機(jī)和網(wǎng)絡(luò)。
WMI是管理員使用的一個(gè)強(qiáng)力工具,可以用于在網(wǎng)絡(luò)中進(jìn)行跨計(jì)算機(jī)搜索,分發(fā)軟件和執(zhí)行命令。
博蘭稱:公司內(nèi)部通常不會(huì)對(duì)WMI活動(dòng)進(jìn)行太多監(jiān)視和日志記錄,也就給攻擊者利用它提供了極大便利。
該黑客組織的100多個(gè)目標(biāo)實(shí)體中有70個(gè)左右都在印度,但也有在巴基斯坦、尼泊爾和孟加拉國的目標(biāo)。
博蘭稱火眼公司決定公布這一消息是為了表明亞洲的組織也是此類針對(duì)性攻擊的目標(biāo)。
通常,一旦火眼公布了消息,網(wǎng)絡(luò)攻擊者們就會(huì)改變他們的攻擊策略以便更加低調(diào)。博蘭預(yù)測此黑客組織會(huì)認(rèn)出消息中說的就是自己,因?yàn)闆]多少人會(huì)用WMI作為他們攻擊活動(dòng)的一部分。
“我想他們會(huì)知道自己已經(jīng)被逮住了。”他說。
然而,被迫改變策略通常代價(jià)昂貴,增加了攻擊者的運(yùn)作成本,這是件好事。
我們就是要迫使他們增加投入。