【持續上升】Google向用戶發出國家級黑客攻擊警告逾50,000次警告
疫情期間催化黑客攻擊,其中國家級黑客的威力更不容小覷。Google 公布目前為止,已向其用戶就有國家資助(State-sponsored)的黑客攻擊發出 50,000 次警告,相比 2020 同期增加 33%。Google 提醒用戶啟用多重因素身份驗證功能,以保護帳戶。
Google 安全工程師和威脅分析組織 (Threat Analysis Group, TAG) 團隊成員 Ajax Bash 在博客指,發出多次警告的原因,是因為阻止了一個名為 APT28 或 Fancy Bear 的俄羅斯黑客組織,其所發起的異常大型活動。來自 TAG 的 Shane Huntley 亦在 10 月 7 日在 Twitter 上表示,該組織前一天發送了「高於平均水平與政府支持相關的安全警告」,而 TAG 是針對網絡釣魚攻擊和惡意軟件攻擊發出警告。Google 認為,由俄羅斯政府支持的黑客是一個主要問題,這與微軟的數據指,過去一年有 58% 的國家級網絡攻擊來自俄羅斯是相符的。
美國國家安全局在 7 月時曾警告,APT28 在過去兩年中針對美國和歐洲組織,展開大規模密碼猜測活動。APT28 使用密碼攻擊和利用 Microsoft Exchange 電子郵件服務器漏洞發動攻擊,這些安全漏洞為 CVE-2020-0688 和 CVE-2020-17144。Google 指會分批向所有可能面臨相關風險的用戶發出警告,並提醒攻擊者注意其防禦黑客入侵的策略。Bash 提到,TAG 在每一天都追蹤來自 50 多個國家/地區的 270 多個有針對性或由政府支持的黑客團體,意味著這些警告背後,其實並不止一個威脅行為者在策劃攻擊。
另一個被 TAG 密切追蹤的國家級黑客組織是來自伊朗的 APT35,該組織亦被稱為 Charming Kitten 或 Phosphorus,以針對政府和國防領域的高價值目標,作網絡釣魚而聞名,受害者遍及波斯灣、歐洲和美國。APT35 多年來一直積極地針對美國國防工業,Google 在 2020 年美國總統大選前,阻止該組織針對拜登和特朗普的競選工作人的網絡釣魚。而Microsoft 本周發出警告稱,美國和以色列國防技術領域的 250 名 Office 365 客戶,受到了來自伊朗威脅的密碼噴灑攻擊,其追蹤碼為 DEV-0343。
Bash 指,在 2021 年初,APT35 入侵了一個附屬於英國一間大學的網站寄宿一個網絡釣魚攻擊。攻擊者發送帶有該網站連結的電子郵件,以獲取受害人在 Gmail、Hotmail 和 Yahoo 等平台的個人憑據,受害人會被指示登入去激活一個假網絡研討會的邀請,該網絡釣魚工具還會向用戶的裝置發送第二因素身份驗證代碼。而自 2017 年以來,APT35 一直在使用相同的方法來針對政府、學術界、新聞界、非政府組織、外交政策和國家安全領域的帳戶。
該組織在去年 5 月向 Google Play Store 上傳了一個虛假的 VPN 應用程式,而這個應用程式或用於收集 Android 手機的數據;不過 Google 表示,在未有任何用戶安裝該應用程式之前,已將之刪除。Google 提到,線上視像會議在疫情期間變得不可或缺,因此 APT35 亦調整其網絡釣魚技術以跟隨這個潮流。Bash 指出,攻擊者利用 Munich Security 和 Think-20 (T20) Italy Conference 作為誘餌,先發送不帶惡意攻擊的聯繫電郵消息,要求用戶回應,而當他們作出回應之後,攻擊者會在後續的通信中,再向他們發出網絡釣魚連結。而這些連結是已縮短連結和點擊追蹤器,並通常嵌入在 PDF 檔案中。這些攻擊在 Google Drive、Google Sites 頁面、Dropbox、Microsoft 服務和 Telegram 的應用程式均有發現。
Google 和 Microsoft 同樣建議 Workspace 管理員和普通用戶,應啟用雙重因素身份驗證,或註冊需要雙重因素身份驗證的 Advanced Protection Program。Bash 指 Workspace 管理員會收到與其網域有關的被針對帳戶的相關通知,並呼籲用戶認真對待這些警告。
