最新消息
[iThome文章分享] 中国骇客锁定各家厂牌的网路设备、信息安全设备,挖掘零时差漏洞从事攻击行动
最近几年,各家信息安全业者不断警告中国骇客锁定企业组织的边界网路设备而来,利用其弱点植入恶意程式,从而监控网路通讯、窃取帐密资料,甚至是架设代理伺服器,滥用流量作为攻击的跳板,如今有信息安全业者揭露他们长期的调查结果,指出这是大型的网路犯罪生态系统。
信息安全业者Sophos揭露大规模攻击行动Pacific Rim,经过他们5年以上的深入调查,包含Volt Typhoon、APT31、APT41(Winnti)等中国骇客组织,锁定多家知名厂牌网路设备发动攻击的情况,这些攻击行动包含僵尸网路、漏洞利用,植入恶意软体。他们发现骇客在四川地区从事相关的漏洞研究利用及开发,找出的漏洞很可能后续提供给多个由中国政府资助的骇客组织运用。
这批攻击者具有下列3种主要的特徵:
首先,骇客从最初针对不特定目标,广泛从事攻击行动,转向印度与太平洋地区的高价值攻击目标及关键基础设施,受害组织涵盖核能供应商与监管机构、军队、电信业者、国家安全机构、政府单位。研究人员认为,骇客初期采取广泛攻击的策略,目的很有可能是为了建置Operational Relay Box networks(ORB)非法代理伺服器服务,但并未成功。
再者,攻击者行踪越来越隐密,而且维持于受害设备活动的手法也不断演进。其中包含寄生攻击(LotL)运用的情况越来越广泛,植入Java类别型态的后门程式,以及完全在记忆体内执行的木马程式、尚未被发现的Rootkit程式,甚至使用UEFI bootkit的情况。研究人员指出,这是首度有人针对防火墙设备植入bootkit的情形。
此外,这些骇客还会对于企图阻扰企业组织收集防火墙遥测资料、影响事件侦测与回应的能力,并尝试减少数位足迹来干扰资安人员后续的调查。
针对这波长期调查的结果,研究人员认为,对于资源充沛的攻击者而言,网路边际设备已成为高价值的目标,而且,这些攻击者有政府在背后撑腰,不光单纯针对Sophos的防火墙设备,其他厂牌的网路设备也是这些骇客的目标,值得留意的是,骇客并非只针对高价值的标的而来,而是有可能控制这些网路设备,并在其他攻击行动里,将其用来混淆攻击来源。
Sophos指出,他们首度察觉相关攻击并非直接针对网路设备,而是旗下子公司Cyberoam的总部,因为这个单位曾在那时遭到对方入侵。2018年12月,Sophos的SecOps团队察觉Cyberoam壁挂式显示器的电脑上,出现RAT木马程式。经过进一步的调查,攻击者使用了大型且构造复杂的rootkit,研究人员将此恶意工具称为Cloud Snooper,再者,他们也看到滥用AWS Systems Manager的代理程式,并藉由配置错误的情况进入云端基础设施的手法。
到了2020年初,骇客花费大量精力及资源,对能够公开存取的网路设备发动攻击,过程里运用未曾公开的漏洞,从而于受害设备搜寻特定信息,并在韧体植入有效酬载,甚至在部分情况下对区域网路其他设备进行感染。这波攻击一直延续到2022年左右。
大约在2022年中期攻击者改变策略,锁定政府机关、关键基础设施、研究及发展组织、医疗照护服务供应商、零售、金融、军事、公共部门等领域,进行高度针对性攻击,攻击者多半以手动方式下达命令,并于受感染的装置上执行恶意软体。
在这些攻击行动里,骇客发展多种型态的作案工具及手法,包含功能齐全的Rootkit、记忆体内恶意程式载入工具Termite、将合法Java档案与木马化类型档案打包在一起、挂勾韧体更新机制的处理程序,以及透过恶意软体或AD同步机制DCSync窃取有效的VPN帐密资料。此外,研究人员也看到对方在测试UEFI bootkit的情况。
研究人员指出,虽然攻击者利用特定漏洞是取得初始入侵管道最常见的做法,但他们也看到利用有效管理帐号资料存取的情况,这代表骇客很可能在成功入侵后藉由周边装置及远端存取的方式,持续于受害组织的网路环境活动,而且,这些骇客似乎资源非常允裕,对于网路设备的韧体及内部架构相当了解,而能长时间从事如此规模的攻击行动。
原文连结:https://www.ithome.com.tw/news/165810