以云为跳板,疑似中国黑客组织黑进全球知名IT服务公司

本文涉及的产品
.cn 域名,1个 12个月
简介: 本文讲的是以云为跳板,疑似中国黑客组织黑进全球知名IT服务公司,攻击了至少14个国家的运营管理供应商(MSP)的黑客活动据称与“APT10”组织有关,而该组织一直被认为属于中国。事实究竟如何?本周普华永道与BAE Systems(世界第三大军工企业)共同发布了一份名为《Operation Cloud Hopper》的报告,报告中得出了一些结论。
本文讲的是 以云为跳板,疑似中国黑客组织黑进全球知名IT服务公司攻击了至少14个国家的运营管理供应商(MSP)的黑客活动据称与“APT10”组织有关,而该组织一直被认为属于中国。事实究竟如何?本周普华永道与BAE Systems(世界第三大军工企业)共同发布了一份名为《 Operation Cloud Hopper 》的报告,报告中得出了一些结论。

与其他报告一样,这份报告也主要提供了一些间接证据,包括介绍了APT10组织的历史证据,以及域名注册时间符合中国时区的时间证据等。研究人员并不认为APT10组织是属于国家控制的,但根据掌握的证据证实,它至少是国家支持的黑客组织。

历史证据

研究表明,APT10曾于2014年进行过此类攻击,并在2016年年初达到了最大攻击规模,还不断地使用特制恶意软件来提升自我的攻击能力。报告认为“Operation Cloud Hopper”活动是迄今为止全球范围内规模最大的网络间谍行为之一。

以云为跳板,疑似中国黑客组织黑进全球知名IT服务公司

 【APT10组织相关活动时间线】

历史证据中涉及APT10组织曾在攻击中使用过的恶意软件。研究人员认为,该组织在使用PlugX之前曾经主要使用Poison Ivy恶意软件。从2016年中旬开始,该组织开始更换工具,现在正在使用的恶意软件包括PlugX、ChChes、Quasar以及RedLeaves等。

以云为跳板,疑似中国黑客组织黑进全球知名IT服务公司

 【APT10组织使用的恶意软件时间线】

Poison Ivy:远程控制软件,通过数据库分表给系统带来伤害;

PlugX:远程控制工具,通过钓鱼邮件传播,曾针对中国、日本等国发起攻击;

ChChes:使用Cookie头与C&C服务器通信的恶意软件;

RedLeaves:APT10最近几个月使用的一款功能齐全的新后门。

时间证据

我们对APT10组织进行域名注册和文件编译的时间进行研究后发现,这些攻击者主要在午夜零点到十点 (UTC,世界标准时间)期间进行活动,而转换到北京时间(UTC+8)后,我们发现对应的时间为08:00—19:00,其中12:00—14:00休息两小时,这一结果非常符合中国的办公时间。如下图所示:

 以云为跳板,疑似中国黑客组织黑进全球知名IT服务公司

 【域名注册时间分布图,左为国际标准时间;右为北京时间】

进一步分析APT10组织使用的PlugX,RedLeaves和Quasar恶意软件样本的编译时间,我们发现了类似的工作时间模式。如下图所示:

 以云为跳板,疑似中国黑客组织黑进全球知名IT服务公司

【PlugX,RedLeaves和Quasar恶意软件样本编译时间分布图,左为国际标准时间;右为北京时间】

但是当分析ChChes恶意软件编译时间时,我们却发现了一个不同的模式,如下图所示:

 以云为跳板,疑似中国黑客组织黑进全球知名IT服务公司

 【ChChes恶意软件编译时间分布,左为国际标准时间;右为北京时间】

虽然与中国的办公时间有所出入,但这可能是威胁行为者试图掩盖或混淆证据的表现,或者是该恶意软件可能是被攻击者用于针对特定目标。此外,我们还对该组织一周的活动时间进行了分析发现,周六周日的攻击活动开始时间明显比工作日时晚,主要集中在下午甚至午夜。

 以云为跳板,疑似中国黑客组织黑进全球知名IT服务公司

 【APT10组织一周的活动时间表】

活动涉及的基础设施

下图展示了攻击者在2016年底使用的基础设施架构图:

 

以云为跳板,疑似中国黑客组织黑进全球知名IT服务公司 

下图为早期的Plugx域名与最近的APT10域名相关联的基础架构图:

 以云为跳板,疑似中国黑客组织黑进全球知名IT服务公司

目标国家分布

根据BAE 和 PwC 发布的报告(PDF)显示,APT10 攻击的企业分布在英国、美国、印度、日本、法国、巴西、加拿大、南非、澳大利亚、泰国和韩国等地。

以云为跳板,疑似中国黑客组织黑进全球知名IT服务公司

【全球受影响企业分布图】

攻击方式

研究人员分析APT10组织的攻击行为后发现,其攻击路径如下:

APT10组织入侵外包IT托管服务供应商;

寻找符合APT10定位配置文件的MSP客户并向其发起间谍活动;

攻击者在系统中搜寻感兴趣的数据;

对收集的MSP客户数据进行压缩,准备从网络中过滤;

被盗数据的压缩文件从MSP客户的网络中移回MSP网络中;

最后从攻击者控制的基础设施中提取盗取的压缩文件.

 以云为跳板,疑似中国黑客组织黑进全球知名IT服务公司

【攻击步骤图】

针对日本政府机构的网络间谍活动

在上文中我们提到,“ChChes”恶意软件的活动时间与众不同,可能是用于针对特定的组织进行攻击活动。而进行分析我们发现。这一特定组织可能就是日本组织机构,其中APT10很可能将自身伪装成为日本政府机构(例如外交部、日本国际合作署以及日本自民党)来进行网络间谍活动,以便进入受害组织。

APT10组织采取的攻击方式依然是使用日语编辑的电子邮件发送给目标机构,通常邮件的标题都极具诱导性以吸引受害者点击邮件(如下图所示)。分析还发现,从2016年底开始APT10开始使用日语对恶意样本进行命名。

 以云为跳板,疑似中国黑客组织黑进全球知名IT服务公司

 【APT10组织使用的日语文件名】

下图是节选的一些为有关三菱重工业的钓鱼邮件示例:

以云为跳板,疑似中国黑客组织黑进全球知名IT服务公司

在针对日本政府机构的攻击中,APT10组织最聪明的战术就是注册类似于合法日本组织的C2域名。下图显示了APT10组织注册的域名以及注册人信息等:

 以云为跳板,疑似中国黑客组织黑进全球知名IT服务公司

 【APT10组织注册的域名】

以云为跳板,疑似中国黑客组织黑进全球知名IT服务公司

【注册信息细节,包括电子邮件地址、服务器名称、注册者信息等】

结论

根据上述给出的历史证据和时间证据等因素,调查人员称该黑客组织可能位于中国,且正在进行野心勃勃的数据收集计划,但APT10背后的具体操纵人员以及攻击目的尚不可知。但是根据分析的报告得知,该组织的攻击手段和使用的工具变得越来越复杂,而这种趋势还将继续下去。相关机构必须高度重视这一威胁,采取适当的方式来确保数据安全。

MWR InfoSecurity的高级安全顾问Donato Capitella警告称,

“组织必须高度重视这一现状并努力提升自身的安全防御能力,但是仅仅提升自身的能力还远远不够,特别是那些将自身IT系统安全性与第三方交织在一起的组织。如果组织不希望看到自己所有的安全投资因为第三方的安全漏洞而受到损害,就必须要求更高的安全标准。同时,随着时间推移,那些自身安全防御能力很强的第三方将突颖而出,未来将获得更多的发展机会。”

此外,该间谍活动是否违反美英与中国之间的经济间谍活动的协议还尚未确定。因为美国和英国只是受影响的14个国家中的两个,所以他们并不是特定的目标。所有这些国家的MSP都是目标,美英并不是特殊的存在。而且根据报告只能通过间接证据说明该组织可能来自中国,其明确归因和动机尚无法确定。

据悉,目前英国国家网络安全中心(NCSC)和澳大利亚国家网络安全中心(ACSC)已经对自己国家的相关企业发布安全告警。




原文发布时间为:2017年4月7日
本文作者:小二郎
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
安全
报告称中国黑客入侵全球能源公司计算机网络
迈克菲公司公布了名为《Global Energy Cyberattacks:“Night Dragon”》(PDF)的报告,声称从2009年11月开始,西方石油、能源和天然气公司遭到了秘密协调的有针对性的网络攻击,黑客利用社会工程、钓鱼手段和微软Windows漏洞、Microsoft Active Directory弱点和远程管理系统,窃取能源公司在运营、项目融资、油气开采和油田投标方面的敏感信息。
949 0
|
安全 网络安全 Memcache
全国首例!阿里安全技术协助警方打掉最新型DDoS网络攻击平台
近日,阿里巴巴安全部专案团队协助浙江景宁警方打掉国内首个从事memcached DDoS攻击的大型网络黑灰团伙。
2777 0
|
安全 网络安全
政府安全资讯精选 2018年第五期 网信办发布中央互联网新闻信息服务单位许可信息;全球网络安全中心在达沃斯经济论坛宣布成立;《2018年全球风险报告》,网络攻击威胁名列最高威胁之一
网信办发布中央互联网新闻信息服务单位许可信息;全球网络安全中心在达沃斯经济论坛宣布成立;《2018年全球风险报告》,网络攻击威胁名列最高威胁之一
1465 0
|
安全
政府安全资讯精选 2018年第二期 工信部发布《工业控制系统信息安全行动计划》;平昌冬奥会或成为黑客攻击目标 部分组织已遭钓鱼;多部门联合开展公共信息资源开放试点工作
工信部发布《工业控制系统信息安全行动计划》;平昌冬奥会或称为黑客攻击目标 部分组织已遭钓鱼;多部门联合开展公共信息资源开放试点工作
1952 0
|
云安全 机器学习/深度学习 人工智能
金融安全资讯精选 2017年第十期 中国台湾远东银行遭黑客入侵被盗六千万美元,GDPR成了欧洲企业“最担心的挑战”,CISO在企业中的位置会变得更加重要
中国台湾远东银行遭黑客入侵被盗六千万美元,GDPR成了欧洲企业“最担心的挑战”,CISO在企业中的位置会变得更加重要,DNSMASQ多高危漏洞公告,阿里云安全数据智能团队负责人观点:安全算法,时代风口的交叉点
2132 0
|
Web App开发 安全
国产流氓软件“火球”全球作恶 受害者众多引起公愤
本文讲的是国产流氓软件“火球”全球作恶 受害者众多引起公愤,6月1日,知名安全公司CheckPoint发布报告称,发现了由中国公司控制的流氓软件“火球(Fireball)”,因受害者众多,已经引起国外安全机构的重视。
1861 0

热门文章

最新文章