知名網(wǎng)絡(luò)安全公司FireEye的新研究表明,疑似與越南政府有關(guān)的黑客組織“APT32”或“OceanLotus”自2014年以來一直在活躍執(zhí)行網(wǎng)絡(luò)間諜任務(wù),其目標(biāo)包括有價(jià)值的公司、外國(guó)政府、持不同政見者和記者。
FireEye分析師尼克·卡爾稱,據(jù)他們所知,APT32針對(duì)政府和普通民眾展開攻擊,但APT32攻擊全球企業(yè)的速度在他們的意料之外。他表示,APT32的能力也讓他們感到驚訝。
APT32主要針對(duì)東南亞對(duì)企業(yè)
FireEye能證實(shí),至少有12家私有部門的組織機(jī)構(gòu)曾遭遇APT32攻擊,其使用的手段是發(fā)送精心設(shè)計(jì)的網(wǎng)絡(luò)釣魚電子郵件,其中包含惡意Word附件。最初,被APT32攻擊的大多數(shù)企業(yè)位于東南亞。
發(fā)展中國(guó)家正不斷投資大量資源培養(yǎng)黑客能力,以有效收集經(jīng)濟(jì)和政治目標(biāo)的情報(bào)。APT32能通過一套獨(dú)特的黑客工具,成功入侵德國(guó)、美國(guó)和菲律賓的組織機(jī)構(gòu)。
FireEye認(rèn)為,APT32黑客組織可能與越南政府有關(guān),因?yàn)楹诳蛢A向于針對(duì)特定企業(yè)、組織機(jī)構(gòu)和個(gè)人,而這些目標(biāo)與越南地緣政治利益相關(guān)。
過去幾年,APT32攻擊了網(wǎng)絡(luò)安全、制造、媒體、銀行、酒店、技術(shù)基礎(chǔ)設(shè)施和咨詢相關(guān)的公司,竊取的資料包括商業(yè)機(jī)密、機(jī)密談話日志和進(jìn)度計(jì)劃。
APT32的活動(dòng)提醒人們,經(jīng)濟(jì)間諜仍是跨國(guó)公司面臨的重要威脅,千萬別抱著僥幸心里,世界上根本不存在數(shù)據(jù)安全港。
APT32黑客組織有多專業(yè)?
作為美國(guó)網(wǎng)絡(luò)安全巨頭,F(xiàn)ireEye能收集專有互聯(lián)網(wǎng)傳感器網(wǎng)絡(luò)上留下的取證證據(jù),以及客戶端系統(tǒng)上存儲(chǔ)的信息,從而獲取APT32以往行動(dòng)相關(guān)的數(shù)據(jù)。
卡爾表示,盡管通過海關(guān)將網(wǎng)絡(luò)監(jiān)控技術(shù)輸入到美國(guó)艱難重重,但FireEye能使用大量其它靈活的技術(shù),例如虛擬網(wǎng)絡(luò)流量、日志聚合器和Kicker(主機(jī)調(diào)查平臺(tái)(HIP)),HIP被用于實(shí)時(shí)查看攻擊者的活動(dòng)。
越南政府官員回應(yīng)稱FireEye的報(bào)告結(jié)果“毫無根據(jù)”。
但FireEye的情報(bào)分析師驚訝地發(fā)現(xiàn),APT32在所有入侵階段均采用了一些先進(jìn)的技術(shù),其攻擊高價(jià)值組織機(jī)構(gòu)時(shí)還能隱藏自己。APT32這支精英黑客組織利用公開披露的軟件漏洞專門針對(duì)使用熱門操作系統(tǒng)的舊版本設(shè)備。他們通常使用網(wǎng)絡(luò)釣魚電子郵件實(shí)施隱秘網(wǎng)絡(luò)間諜活動(dòng),以動(dòng)態(tài)將惡意軟件注入主機(jī),大多數(shù)情況下,病毒僅隱藏在主機(jī)內(nèi)存,之后定期更新。
此外,APT32至少在一起案例中使用開源工具摧毀受害者設(shè)備上留下的取證證據(jù)。
FireEye上周日發(fā)布博文指出,在受害者環(huán)境中建立立足點(diǎn)之后,APT32并未停止行動(dòng)。經(jīng)Mandiant公司幾名調(diào)查人員揭露,APT32在獲取訪問權(quán)后,定期清除選中的事件日志條目,并借助Daniel Bohannon的Invoke-Obfuscation框架混淆基于PowerShell 的工具與殼代碼(Shellcode)加載器。