趨勢科技:Pawn Storm集火網路宣傳 常用三種攻擊招數
《回顧 Pawn Storm二年來的發展:審視這項日益嚴重的威脅》這份由趨勢科技所發佈的資安威脅研究報告指出, Pawn Storm (或名爲 Fancy Bear、APT28)這個從 2004 年活躍至今的激進駭客間諜組織,企圖用各種手段從攻擊目標竊取重要資訊,顯示出「地緣政治影響」是其國內外間諜活動的主要動機,而非金錢利益。
趨勢科技資深威脅研究專家 Fyodor Yarochkin 表示,Pawn Storm 在過去兩年內將攻擊火力重心聚焦於網路宣傳活動(Cyber Propaganda),光是 2016 年就成長了 400% 的目標攻擊。目前已知受害對象包含美國民主黨全國代表大會、德國基督教民主黨、土耳其國會和政府機關、世界反運動禁藥機構、New York Times、半島電視臺(Al Jazeera)及其他多家機構。
在早期,Pawn Storm 主要鎖定政府機構、軍隊進行國家滲透性的網路間諜活動;然而現在他們把攻擊目標擴及全球不同產業與企業組織,甚至連一般公民的自由意志皆有可能受到該組織於背後的國內外輿論操縱所影響。例如,2016 年,該團體主動聯繫德國明鏡週刊(Der Spiegel),並提供世界反運動禁藥機構(WADA)和美國反禁藥組織(USADA)上百封的內部郵件資料,引爆後續俄國體壇禁藥疑雲風波,動搖人民想法與國家威信。
該報告介紹了三種 Pawn Storm 最愛用的攻擊招術,包含「憑證授權釣魚詐騙(Credential Phishing Campaigns)」,利用開放驗證(OAuth)機制來從事進階社交工程詐騙,駭客首先騙過 Google 或 Yahoo 這類服務供應商的背景審查,再來發送郵件給組織高層或重要人物,建議其安裝帶有惡意程式的應用服務,如安裝他們假造的 Google Defender、McAfee Email protection 等。
再來是「魚叉式釣魚郵件詐騙(Spear-Phishing Campaigns)」,駭客爲寄送帶有惡意附檔文件或是惡意連結的郵件給目標對象,再來利用吸引人的內容來引誘其下載或點選。最後是「水坑式攻擊手法(Watering Hole Attacks)」,因爲入侵目標對象經常瀏覽的合法網站,這些網站已被他們植入惡意程式碼,受害對象接着會被導入惡意網站,Pawn Storm再利用惡意程式來進行勘查活動,檢視目標對象執行中的任務、網域、共享資料夾、使用者資訊等等。
趨勢科技更預測,Pawn Storm 於 2016 干擾美國總統大選而多次登上媒體版面,逐漸因受到媒體關注而更加膽大妄爲,在接下來的幾個月可能會有更加活躍的駭客行動。如同所有機構組織,政治團體也應從高層人員至伺服器機房,所有人員都必須同心協力保護機密資訊安全,否則智慧財產和機密資料一旦落入不肖之徒手中,絕對不會有好下場。