本文讲的是 “蝴蝶”黑客小组专偷知识产权,一个名为“蝴蝶”的黑客小组,其攻击目标主要是企业的知识产权,遭受攻击的相关公司包括推特、脸书、苹果、微软以及其它商业巨头。
一般而言,黑客小组往往由国家赞助,其攻击目标是信息业、军方或其它处于重要战略地位的产业。这种专门针对企业知识产权的黑客小组并不多见,但仍然不应忽视。因为,这些行业的知识产权对整个国家都是很有价值的。
根据发现者赛门铁克的报告,蝴蝶小组的目标范围非常广。在2013年,蝴蝶小组的攻击往往针对科技企业,接下来的几年中,他们则转向了法律和制药公司。而在上个月,他们又开始攻击石油、天然气、矿产等能源行业。
这些公司的共同点是它们都存在公开渠道的信息披露,大多排名在财富200强之内。另一个共同的现象是,蝴蝶小组的攻击往往发生在这些公司进行合并或收购的新闻报道之后。赛门铁克高级经理维克拉姆·塔库尔认为,蝴蝶小组并非由国家支持,而且由于在暗网上的黑市中也没有找到蝴蝶小组兜售失窃信息的迹象,因此合理的解释很可能只有一个:
我们认为,这个组织偷到的知识产权信息主要被用来在金融市场上做内幕交易。
不过,赛门铁克还没能够将偷窃行为与任何偷窃发生时的市场波动联系在一起。这可能是因为这些网络罪犯使用这些信息做的是长线交易,也可能是因为他们非常擅长掩饰踪迹。
塔库尔表示,目前为止,蝴蝶小组留下的痕迹很少。他们删掉了恶意软件,并清除了自身留下的其它痕迹。
比如,在一些攻击中会使用特定的外部服务器。在赛门铁克进行调查的时候,发现服务器的费用都已经全部支付完毕,并没有被入侵。但攻击者是用比特币来进行支付的,支付过程并不是通过单一的比特币转账交易完成的,资金实际上是来源与一系列不同的账户。因此,几乎不可能弄清楚这些来自不同账户的比特币来源。
为了攻击目标公司,另一个名为大闪蝶(morpho)的黑客小组使用过水坑攻击,他们事先感染了目标公司雇员可能会访问的网站。
蝴蝶小组使用了一些零日漏洞,据此推测该小组很可能资金实力很强。因为在地下市场上,购买零日漏洞需要一大笔钱。不然的话就需要很深厚的技术储备去亲自找到这些漏洞,比如Hacking Team这样的间谍软件生产商。
还有一种解释,就是蝴蝶小组可能受雇于能够出得起很高价钱的商业公司或是对股票市场非常有兴趣的犯罪分子,他们会关注金融账务文档或企业的长期计划。如果目标是盗取制药商或制造商设计的产品,黑客则很有可能把它们卖给那些想要进行山寨的厂商。
大约一年前,有家韩国公司贿赂了杜邦的员工窃取信息,以对杜邦的产品进行仿制。
原文发布时间为: 七月 17, 2015
本文作者:Venvoo
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/threat-alert/8748.html
