多年来,媒体和安全机构都在不断披露一个处心积虑、专门攻击石油与航空产业的黑客组织,网安界将其称为APT33。近日,据安全专家的最新研究显示,该组织正利用十多个僵尸网络,以针对性恶意程序来攻击中东、美国及亚洲少数特定对象的C&C服务器。
安全专家认为,这些服务器所操控的僵尸网络每个大概包含十几台僵尸电脑,黑客利用这些僵尸网络常驻在特定的目标内。目前,在仍活跃的感染目标当中,有两个是专门提供国家安全服务的某家美国私人企业的两个据点,其他受害单位还有:美国的某家大学及学院,一个可能与美国军方有所关连的单位,以及多个分布在中东和亚洲的机构。
除此之外,APT33在过去几年也不断从事一些更“激进”的攻击。例如,该组织至少在两年的时间中,利用了欧洲某高阶政要的私人网站来发送鱼叉式网络钓鱼邮件给一些石油产业供应链上的企业。据了解,这些被攻击的目标甚至包括一家供应美国陆军某军事基地安全饮用水的厂商。
其实,这些攻击很可能已入侵了石油产业。例如,安全专家在2018年发现英国某石油公司在英国和印度境内的服务器曾与APT33的C&C服务器通信。另一家欧洲石油公司的位于印度据点的某台服务器也遭APT33的恶意程序感染了至少3周左右(2018年11月至12月间)。除此之外,还有多家石油产业供应链上的其他公司也在2018年秋天遭到入侵。这些入侵事件对石油相关产业来说是一项重大警讯,因为APT33习惯使用一些具有破坏力的恶意程序。
在上表当中以”.com”和”.aero”结尾的前两个电子邮件地址,就是目前该团体使用的假冒地址。而以”.ga”结尾的,则来自黑客本身的基础构架。不过,所有上述地址都是假冒知名的航空以及石油和天然气公司。
除了这些相对高调、针对石油产业链的攻击之外,安全专家发现APT33也一直透过几个C&C网域来操控一些小型僵尸网络,每个大约只包含十几台电脑。
很显然APT33要费尽心思来防止自己被轻易追查,这些C&C网域通常设在云端代管的代理器上。这些代理器会负责将僵尸电脑所发出的URL请求转送至后端一大群共享的网站服务器,这些服务器很可能对应到上千个合法的网域。接着,后端服务器再将僵尸电脑送来的数据传回给数据汇整与僵尸操控服务器,这些服务器会使用专用的IP地址。然后,APT33黑客组织再经由私人VPN网路连线至数据汇整服务器,且其VPN出口节点(exit node)会经常变换。接着,APT33黑客组织再透过这些VPN联机来对僵尸电脑下达指令并搜集数据。
2019年第三季度,安全专家共发现了10个活跃中的数据汇整与僵尸操控服务器,并且追踪其运作长达数月之久。这些数据汇整服务器只会从很少数(1或2台)的C&C服务器搜集数据,每个非重复的C&C网域仅操控大约十几台僵尸电脑。下表列出一些使用较久且至今仍在活跃当中的C&C网域。
当黑客在管理C&C服务器或从事侦查行动时,通常会使用商用VPN服务来隐藏自己的行踪。不过,安全专家也常看到黑客使用自行架设的私人VPN网络。
要架设私人VPN网络其实不难,只需向全球各地的数据中心租用几台服务器,再搭配OpenVPN之类的开放原始码软件即可。尽管来自私人VPN网络的联机看似使用随机的全球IP地址,但这类流量其实反而比较容易追查。一旦查出某个出口节点主要是由某黑客所使用,安全专家就能掌握来自该出口节点IP地址的联机。因为,黑客除了透过某个VPN出口节点来管理C&C服务器外,还会对攻击目标的网络进行扫描。
APT33所用的VPN出口节点很可能是特别保留的。因为有些VPN出口节点已经被安全专家追踪了一年以上,下表列出一些已知的相关IP地址。表中标示的时间是保守估计日期,这些IP地址的使用时间有可能更加久远。
表3:APT33所用的几个私人VPN出口节点相关的IP地址
显然这些私人VPN出口节点也被用来侦查石油产业供应链企业的网络。更确切地说,安全专家有实际看到“表3”当中的某些IP地址被用于侦查中东某石油探勘公司与军医院的网络,还有美国的石油公司。
APT33会利用其私人VPN网络来存取一些渗透测试公司的网站以及网页邮件、漏洞信息网站、虚拟加密货币相关站点等等,此外也会用来阅读黑客博客与论坛。不仅如此,APT33显然也对石油和天然气产业的人才招募网站很有兴趣。安全专家建议石油和天然气产业的公司应该交叉比对一下上面所列的IP地址与自己的系统日志。
随着石油、天然气、自来水、电力等公司的基础设施不断信息化,其安全防护工作也更加困难。公然的攻击、现成的漏洞,或是暴露在外的SCADA/HMI系统,都是这些产业面临的严重问题。以下提供一些防范措施来供企业参考:
此外,想要保护这类复杂且经常跨国的供应链系统并非易事,因为这类企业的核心业务无可避免地会与第三方供应商整合,而供应商的安全问题却经常被人忽略,使得网络犯罪组织经常瞄准企业之间的通信或联机漏洞。
如前面所说,APT33专门使用鱼叉式网络钓鱼邮件来渗透攻击目标的网络,就其恶意行为来看,其威胁是十分严重的。要防范垃圾邮件和电子邮件威胁,企业可考虑采用亚信安全Deep Discovery帮助企业侦测恶意的附件和网址。
行业热点:
智能门铃竟成攻击“跳板”,整栋房子全“疯”了
还在使用公共充电线?小心黑客正在窃取你的隐私!
勒索软件“变形术”升级,大规模垃圾邮件瞄准银行
Windows Server 2008即将终止支持,您准备好了吗?
了解亚信安全,请点击“阅读原文”