日本的商业与关键性基础设施管理机构多年来一直受到针对性攻击威胁，而研究人员将其戏称为“Dust Storm（沙漠风暴）行动”。

本周二由安全企业Cylance公司发布的一篇报道披露了某威胁集团相关活动的细节信息，其恶意行为自2010年甚至更早就已经出现。攻击者们将矛头指向日本、韩国、美国、欧洲以及多个东南亚国家之相关组织机构，并于2015年开始全力冲击日本境内的攻击目标。

专家们认为，攻击者们可能来自某个由国家支持的、拥有雄厚资金及良好组织体系的专业集团，其专门依靠水坑、鱼叉式钓鱼、特殊后门以及零日漏洞利用手段实施侦察与间谍活动。

根据Cylance公司的报告，这些网络恶意人士已经成功从日本多家电厂、金融、建筑、石油与天然气乃至交通运输行业从业机构的系统当中窃取到敏感信息。

安全专家报告称，早期Dust Storm行动采取的攻击方式相对简单，而且曾被安全行业所轻松识破。然而该集团于2011年进行的恶意活动引起了研究者们的重视，当时他们利用到Adobe Flash Player（CVE-2011-0611）与IE浏览器（CVE-2011-1255）中的零日漏洞，旨在植入一种名为“Misdat”的恶意软件。

2011年10月，攻击者们利用与利比亚危机以及卡扎菲死亡消息相关的新闻对美国防御机构及维吾尔族对象发动攻击。此后一年中，他们又在攻击活动中使用了另一项IE零日漏洞（CVE-2012-1889）。

2013年3月，就在美国麦迪安网络安全公司发布了一份关于中国政府支持之APT1威胁集团之评估报告之后，安全专家们发现Dust Storm行动的活跃度出现明显下降——直到2013年8月。另一次引发高度关注的事件出现在2014年2月，当时攻击者们开始利用一项新的IE零日漏洞（CVE-2014-0322），并通过在某家软件零售商的官方网站上建立水坑对该漏洞进行传播。

2015年，Dust Storm行动开始将目标指向日本，具体对象包括各类汽车制造商、韩国电力公司驻日子公司以及石油与天然气企业等等。

除了之前使用过的各类工具，该集团还于2015年5月将多种Android后门纳入技术储备。这些威胁手段能够将短信消息及通话信息转发至一台命令与控制（简称C&C）服务器，并以此为素材对韩国及日本境内的目标发动攻击。

Cylance公司在其报告中解释称：虽然早期攻击活动中所使用的恶意软件较为简单且易被发现，但最近一段时间该集团开始越来越多地使用定制化方案以尽可能回避各类安全产品的检测。

“就目前来看，我们认为这些攻击活动还不具备破坏性或者颠覆性。然而，我们的团队认为这种针对日本各关键性基础设施与资源的攻击将呈现出逐渐抬头之势，并很可能在未来实现进一步升级，”Cylance公司总结称。

E安全/文 转载请注明E安全

新朋友请关注「E安全」

微信搜公众号EAQapp