本文讲的是
以云为跳板,疑似中国黑客组织黑进全球知名IT服务公司,
攻击了至少14个国家的运营管理供应商(MSP)的黑客活动据称与“APT10”组织有关,而该组织一直被认为属于中国。事实究竟如何?本周普华永道与BAE Systems(世界第三大军工企业)共同发布了一份名为《
Operation Cloud Hopper
》的报告,报告中得出了一些结论。
与其他报告一样,这份报告也主要提供了一些间接证据,包括介绍了APT10组织的历史证据,以及域名注册时间符合中国时区的时间证据等。研究人员并不认为APT10组织是属于国家控制的,但根据掌握的证据证实,它至少是国家支持的黑客组织。
历史证据
研究表明,APT10曾于2014年进行过此类攻击,并在2016年年初达到了最大攻击规模,还不断地使用特制恶意软件来提升自我的攻击能力。报告认为“Operation Cloud Hopper”活动是迄今为止全球范围内规模最大的网络间谍行为之一。
【APT10组织相关活动时间线】
历史证据中涉及APT10组织曾在攻击中使用过的恶意软件。研究人员认为,该组织在使用PlugX之前曾经主要使用Poison Ivy恶意软件。从2016年中旬开始,该组织开始更换工具,现在正在使用的恶意软件包括PlugX、ChChes、Quasar以及RedLeaves等。
【APT10组织使用的恶意软件时间线】
Poison Ivy:远程控制软件,通过数据库分表给系统带来伤害;
PlugX:远程控制工具,通过钓鱼邮件传播,曾针对中国、日本等国发起攻击;
ChChes:使用Cookie头与C&C服务器通信的恶意软件;
RedLeaves:APT10最近几个月使用的一款功能齐全的新后门。
时间证据
我们对APT10组织进行域名注册和文件编译的时间进行研究后发现,这些攻击者主要在午夜零点到十点 (UTC,世界标准时间)期间进行活动,而转换到北京时间(UTC+8)后,我们发现对应的时间为08:00—19:00,其中12:00—14:00休息两小时,这一结果非常符合中国的办公时间。如下图所示:
【域名注册时间分布图,左为国际标准时间;右为北京时间】
进一步分析APT10组织使用的PlugX,RedLeaves和Quasar恶意软件样本的编译时间,我们发现了类似的工作时间模式。如下图所示:
【PlugX,RedLeaves和Quasar恶意软件样本编译时间分布图,左为国际标准时间;右为北京时间】
但是当分析ChChes恶意软件编译时间时,我们却发现了一个不同的模式,如下图所示:
【ChChes恶意软件编译时间分布,左为国际标准时间;右为北京时间】
虽然与中国的办公时间有所出入,但这可能是威胁行为者试图掩盖或混淆证据的表现,或者是该恶意软件可能是被攻击者用于针对特定目标。此外,我们还对该组织一周的活动时间进行了分析发现,周六周日的攻击活动开始时间明显比工作日时晚,主要集中在下午甚至午夜。
【APT10组织一周的活动时间表】
活动涉及的基础设施
下图展示了攻击者在2016年底使用的基础设施架构图:
下图为早期的Plugx域名与最近的APT10域名相关联的基础架构图:
目标国家分布
根据BAE 和 PwC 发布的报告(PDF)显示,APT10 攻击的企业分布在英国、美国、印度、日本、法国、巴西、加拿大、南非、澳大利亚、泰国和韩国等地。
【全球受影响企业分布图】
攻击方式
研究人员分析APT10组织的攻击行为后发现,其攻击路径如下:
APT10组织入侵外包IT托管服务供应商;
寻找符合APT10定位配置文件的MSP客户并向其发起间谍活动;
攻击者在系统中搜寻感兴趣的数据;
对收集的MSP客户数据进行压缩,准备从网络中过滤;
被盗数据的压缩文件从MSP客户的网络中移回MSP网络中;
最后从攻击者控制的基础设施中提取盗取的压缩文件.
【攻击步骤图】
针对日本政府机构的网络间谍活动
在上文中我们提到,“ChChes”恶意软件的活动时间与众不同,可能是用于针对特定的组织进行攻击活动。而进行分析我们发现。这一特定组织可能就是日本组织机构,其中APT10很可能将自身伪装成为日本政府机构(例如外交部、日本国际合作署以及日本自民党)来进行网络间谍活动,以便进入受害组织。
APT10组织采取的攻击方式依然是使用日语编辑的电子邮件发送给目标机构,通常邮件的标题都极具诱导性以吸引受害者点击邮件(如下图所示)。分析还发现,从2016年底开始APT10开始使用日语对恶意样本进行命名。
【APT10组织使用的日语文件名】
下图是节选的一些为有关三菱重工业的钓鱼邮件示例:
在针对日本政府机构的攻击中,APT10组织最聪明的战术就是注册类似于合法日本组织的C2域名。下图显示了APT10组织注册的域名以及注册人信息等:
【APT10组织注册的域名】
【注册信息细节,包括电子邮件地址、服务器名称、注册者信息等】
结论
根据上述给出的历史证据和时间证据等因素,调查人员称该黑客组织可能位于中国,且正在进行野心勃勃的数据收集计划,但APT10背后的具体操纵人员以及攻击目的尚不可知。但是根据分析的报告得知,该组织的攻击手段和使用的工具变得越来越复杂,而这种趋势还将继续下去。相关机构必须高度重视这一威胁,采取适当的方式来确保数据安全。
MWR InfoSecurity的高级安全顾问Donato Capitella警告称,
“组织必须高度重视这一现状并努力提升自身的安全防御能力,但是仅仅提升自身的能力还远远不够,特别是那些将自身IT系统安全性与第三方交织在一起的组织。如果组织不希望看到自己所有的安全投资因为第三方的安全漏洞而受到损害,就必须要求更高的安全标准。同时,随着时间推移,那些自身安全防御能力很强的第三方将突颖而出,未来将获得更多的发展机会。”
此外,该间谍活动是否违反美英与中国之间的经济间谍活动的协议还尚未确定。因为美国和英国只是受影响的14个国家中的两个,所以他们并不是特定的目标。所有这些国家的MSP都是目标,美英并不是特殊的存在。而且根据报告只能通过间接证据说明该组织可能来自中国,其明确归因和动机尚无法确定。
据悉,目前英国国家网络安全中心(NCSC)和澳大利亚国家网络安全中心(ACSC)已经对自己国家的相关企业发布安全告警。
原文发布时间为:2017年4月7日
本文作者:小二郎
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
