近日,安全公司Cylance公開了一個針對日本商業(yè)和關(guān)鍵基礎(chǔ)設(shè)施,代號“沙塵暴”行動的黑客活動。“沙塵暴”行動幕后之手至少從2010年起已開始活動,黑客已把日本、韓國、美國和其他亞洲國家的幾個組織作為了攻擊目標(biāo)。
黑客組織資金充足
專家相信此是資金充足的專業(yè)組織所為, 且有些情況導(dǎo)致研究者猜測或有國家組織的參與。
Cylance研究員揭露幕后之手從2015年開始集中精力于日本組織機(jī)構(gòu),他們的黑客攻陷了日本電力、石油和天然氣,交通運(yùn)輸,財政和建筑行業(yè)等組織機(jī)構(gòu)的網(wǎng)絡(luò)。
受害者列表中含有一家汽車制造商,一家韓國電力公司的日本子公司,以及石油天然氣公司。
“水坑”和“魚叉釣魚”式攻擊的習(xí)慣,展現(xiàn)了這些黑客的“軍火庫”中獨立后門和零日漏洞是多么有效。在2015年五月實施的大量攻擊中,針對韓國和日本目標(biāo),此組織還使用了幾種安卓后門。
得益于“沙塵暴”行動幕后組織發(fā)動的這些攻擊不夠復(fù)雜。在2011年,當(dāng)其黑客依靠Adobe Flash Player(CVE-2011-0611) 和Internet Explorer(CVE-2011-1255) 零日漏洞來傳播Misdat后門的一個變種時,研究員注意上了這個組織。
“盡管此組織增加了一些其主要后門針對亞洲攻擊的突出程度,此次威脅在2010年期間幾乎沒有什么公開信息可以獲取。”Cylance 發(fā)布的報告中陳述到,“直到2011年,從一系列的攻擊中撬出一個以建立目標(biāo)網(wǎng)絡(luò)據(jù)點為目標(biāo)的Internet Explorer 8 的無補(bǔ)丁漏洞,CVE-2011-1255,“沙塵暴”行動開始浮出水面。”
以往記錄
2011年10月, 黑客以收集穆阿邁爾·卡扎菲死后帶來的利比亞危機(jī)的相關(guān)情報為目標(biāo)。在2012年,此組織祭出了 Internet Explorer 零日漏洞 (CVE-2012-1889)來配合其網(wǎng)絡(luò)間諜活動。
Cylance 的專家注意到在2013年3月, “沙塵暴”行動活動銳減,恰逢Mandiant的代號為APT1的中國APT組織分析報告發(fā)布之后……
在2014年2月,“沙塵暴”行動幕后組織再現(xiàn), 啟動了一系列攻擊,祭出了新的Internet Explorer零日漏洞(CVE-2014-0322) 來用于水坑攻擊。
Cylance 的研究員堅信, 針對日本關(guān)鍵基礎(chǔ)設(shè)施的攻擊將會快速增長。
“無論如何,我們相信針對日本關(guān)鍵基礎(chǔ)設(shè)施和能源公司的特性攻擊不會間斷,并且很有可能持續(xù)至將來逐步升級擴(kuò)大。”Cylance總結(jié)道。