網絡安全公司 ESET 早前揭露,一間身份未被公開的全球性證券交易所遭受針對性網絡間諜攻擊,專家指幕後黑手是與中國有關聯的黑客組織「Budworm」(又稱「APT27」)。這班黑客不單入侵系統,更幾乎偷盡受害者所有機密電郵,細膩手法令人難以防犯。
惡意程式改頭換面
據 ESET 研究人員分析,黑客首先以不明手段取得目標電腦系統的最高管理員權限後,隨即展開一連串偽裝工程。他們將惡意程式改頭換面,假冒成用家每日都會接觸到的正常檔案,例如 Adobe 閱讀器更新程式、OneDrive 安裝助理等,再將這些「臥底程式」藏進正常的系統資料夾,令網絡安全系統不會對這類連線起疑。更絕的是黑客為這些假程式設定了每 5 分鐘自動執行一次的排程,確保即使個別程式被意外終止,幾分鐘後又會再被執行。
站穩陣腳後,黑客著手建立數據外洩渠道,他們一開始的選擇是 Dropbox。透過這個人畜無害的雲端服務,黑客暗中將受害者電腦內的數據源源不絕地上傳至自己控制的帳戶。由於 Dropbox 流量在大多數企業網絡中屬於正常通訊,整個偷竊過程在防禦系統眼中,跟員工儲存工作文件毫無分別。
研究人員續指出,這次攻擊最具破壞力的環節是系統性竊取電郵的手法。黑客設置了一個偽裝成「Lenovo 系統健康檢查」的排程任務,每 5 小時自動執行一次,全程扮演盡職的系統維護工具。他們使用專門讀取 Outlook 電郵檔案的工具,並將其偽裝成 .tmp 暫存檔,開始靜靜打包機密數據。
螞蟻搬家式偷資料避偵測
初次出手,黑客一口氣將目標帳戶過去三個月所有電郵打包外傳,但之後五個月他們卻異常克制,每隔 2 至 4 週才偷取一次,每次只拿一小批,成功避開防毒軟件對大規模數據異動的警報機制。這種「細水長流」的偷竊方式,最終令受害者難以察覺它的存在。而隨著攻擊進入後期,黑客開始變招。他們將傳輸渠道由 Dropbox 切換至 OneDrive,以繞過公司更新後的網絡安全措施;同時每隔幾週重寫一次排程任務內容,防止被行為分析工具識破固定規律。
研究員指在入侵行動被發現前最後一個月,黑客仍不忘在系統中植入假冒成 Intel 診斷工具及微軟測試引擎的全新惡意檔案,顯示他們在為更長遠的潛伏計劃鋪路。最終雖然東窗事發,但若非 ESET 及時介入,這場間諜行動相信還會繼續下去。
事件之所以備受關注,在於目標是一間掌握大量市場敏感資訊的證券交易所。若外洩電郵涉及未公開的企業併購消息、監管決定或內部通訊,其情報價值對國家級黑客來說幾乎無價,甚至可被用於操控市場或進行商業間諜活動。
網絡安全專家警告,APT27 近年愈來愈針對金融及關鍵基礎設施,傳統防毒或邊界防禦已難以招架。企業必須轉向「假設已被入侵」的安全思維,重點監控內部橫向移動、電郵存取行為異常,以及對合法雲端服務流量的深層審查。ESET 方面已發佈了有關這次入侵的 IoC 指標,詳情可以到官網查詢。
資料來源:https://www.securityweek.com/hackers-target-global-stock-exchange-in-espionage-operation/
屆時,大家可以同嚟自全球嘅網絡安全專家、研究人員及業界領袖,齊齊探討最新安全技術與實戰洞見
