為獲取商業(yè)利益而發(fā)動網(wǎng)絡(luò)攻擊的黑客組織:魔方

責(zé)任編輯:editor007

作者:nana

2016-06-18 23:10:43

摘自:安全牛

盡管網(wǎng)絡(luò)間諜活動背后的原因大多是為企業(yè)攫取競爭優(yōu)勢,但這一猜測卻一直沒有太多證據(jù)支持。魔方的目標(biāo)包括了美國政府機構(gòu)、印度和緬甸軍事機構(gòu)、新加坡關(guān)鍵基礎(chǔ)設(shè)施、德國汽車公司的研發(fā)部門,以及印度武器工業(yè)。

盡管網(wǎng)絡(luò)間諜活動背后的原因大多是為企業(yè)攫取競爭優(yōu)勢,但這一猜測卻一直沒有太多證據(jù)支持。直到現(xiàn)在,一起新的間諜活動顯示出許多數(shù)據(jù)泄露事件與經(jīng)濟利益之間幾乎是一對一的映射關(guān)系。

荷蘭安全公司Fox-IT在去年11月發(fā)現(xiàn)了一個網(wǎng)絡(luò)間諜組織,并將其命名為Mofang(魔方)。該組織至少自2012年2月以來便襲擊了不同國家和行業(yè)的超過12個目標(biāo),而且至今依然活躍。魔方的目標(biāo)包括了美國政府機構(gòu)、印度和緬甸軍事機構(gòu)、新加坡關(guān)鍵基礎(chǔ)設(shè)施、德國汽車公司的研發(fā)部門,以及印度武器工業(yè)。

但是其中一次與緬甸皎漂經(jīng)濟特區(qū)商業(yè)交易有關(guān)的行動,提供了這些攻擊者動機的線索。在那次攻擊中,魔方瞄準(zhǔn)了負(fù)責(zé)該區(qū)域投資決策的一個財團,而某國石油集團公司正希望在那個地區(qū)投資建設(shè)油氣管道。

Fox-IT高級威脅情報分析師尤納坦·科林斯瑪說:“這真是一個有意思的攻擊活動,從中可以看出企業(yè)的初始投資是如何驅(qū)動數(shù)據(jù)竊取的。他們要么是害怕失去投資,要么僅僅是想要更多的商業(yè)機會。”

發(fā)現(xiàn)魔方

VirusTotal是谷歌的一個免費在線服務(wù),聚集了來自賽門鐵克、卡巴斯基、F-Secure和其他安全公司36種以上的反病毒掃描器。任何人,只要發(fā)現(xiàn)了可疑文件,都可以上傳提交到該網(wǎng)站讓掃描器識別是否惡意。Fox-IT就是通過在VirusTotal上發(fā)現(xiàn)了該組織的某些惡意軟件才找出了魔方。

Fox-IT發(fā)現(xiàn)的是該組織使用的兩款主要工具:ShimRat(遠(yuǎn)程訪問木馬)和ShimRatReporter(偵察工具)。該惡意軟件是根據(jù)受害者定制的,也就讓Fox-IT能夠從攻擊者使用的電子郵件文檔中出現(xiàn)的受害者名稱,來識別出他們的攻擊目標(biāo)。

與許多其他國家支持的黑客組織不同,魔方并不使用零日漏洞利用突破目標(biāo)系統(tǒng),而是主要依靠網(wǎng)絡(luò)釣魚攻擊將受害者引誘到已被拿下的網(wǎng)站,利用已知漏洞將惡意軟件下載到他們的系統(tǒng)中。該組織還會劫持反病毒產(chǎn)品來運行他們的惡意軟件,這樣一來,即使受害者查看進(jìn)程列表,能看到的也只是合法的反病毒程序,而其實內(nèi)里早被替換成了惡意軟件。

研究人員發(fā)現(xiàn)攻擊者使用的一些代碼與之間的一個黑客組織所用的很相似。其釣魚郵件攻擊中所用的文檔是用WPS,一套與微軟Office相類似的辦公軟件。

攻擊歷史

第一次行動在2012年5月,襲擊了緬甸的一個政府實體。魔方黑掉了商務(wù)部的一臺服務(wù)器。同一個月,他們還攻擊了兩家德國汽車公司,其中一家參與了軍方裝甲坦克和卡車的技術(shù)開發(fā),另一家則與火箭發(fā)射裝置有關(guān)。

2013年8月和9月,他們攻擊了美國的目標(biāo)。一個案例里,他們通過電子郵件向美國軍方和政府工作人員發(fā)送了《21世紀(jì)電子戰(zhàn)要點》訓(xùn)練課程的報名表。他們還針對過一家做太陽能電池研究的美國公司,以及印度2013國際防務(wù)展(DEFExpo)的參展商。在2014年,韓國一個不明組織是他們的攻擊目標(biāo);同年4月,他們利用一份聲稱是緬甸人權(quán)與制裁相關(guān)的文檔攻擊了緬甸的一個政府機構(gòu)。

他們的目標(biāo)范圍非常大,種類繁多,但技術(shù)和研發(fā)公司始終是他們追逐的。

但最具說服力的攻擊案例,是去年遭殃的一個緬甸政府實體和新加坡工程集團(CPG Corporation),兩個機構(gòu)均與緬甸皎漂經(jīng)濟特區(qū)的外國投資決策有關(guān)。該經(jīng)濟特區(qū)用減稅和延長土地租期來吸引外資。對于2009年就在該特區(qū)投資的某石油集團公司而言,皎漂經(jīng)濟特區(qū)有著特別的吸引力。該公司簽署了一份建設(shè)港口和開發(fā)運營中緬油氣管道的諒解備忘錄,以省去必須經(jīng)過馬六甲海峽運輸天然氣的麻煩。但在缺乏一份具有法律約束力的協(xié)議情況下,緬甸有可能會違約。

2014年3月,緬甸選擇了由新加坡工程集團領(lǐng)銜的財團幫助決策皎漂經(jīng)濟特區(qū)的發(fā)展。2015年,該財團計劃宣布贏得基礎(chǔ)設(shè)施投資權(quán)的公司名單,但到了7月仍無結(jié)果漏出。那個時間,也正是魔方組織黑進(jìn)了新加坡工程集團的時間。Fox-IT不清楚到底被竊取了哪些具體信息,但該時間點本身已經(jīng)極具說明性。

該時間線是非常特定的,十分貼合決策期。因為在今年,該石油公司贏得了在緬甸經(jīng)濟區(qū)建設(shè)油氣管道和港口的投標(biāo)。

 

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號