McAfee 實驗室 Dmitri Alperovitch 最近公布了一份安全報告,在這份報告中根據他們分析駭客所用的命令與控制伺服器,分析了其中攻擊日誌,發現在過去五年以來,駭客組織所進行的一連串有系統的攻擊行為,描繪出一個跨國際、跨產業的受害者樣貌,為至今以來所發現最大規模的攻擊行動,連台灣也有三間組織受害。
根據這份公布的調查報告指出,目前駭客攻擊的目的已經從早期純粹想挑戰權威、想出名,演進到想要從中得利、騙取金錢,現在則是蛻變為一種相當複雜的,包含獲取商業及國家機密,威脅國家安全的高科技犯罪。為了讓大眾更明瞭現在駭客的可怕性,他們公布了一個最近發現的案例,這個案例是由特定單一的個人或組織,所進行的為期長達5年的大規模系統攻擊行動,而McAfee內部將這項行動命名為「Operation Shady RAT」(暗鼠行動,RAT指的是Remote Access Tool)。
整個「Operation Shady RAT」的調查白皮書在McAfee網站上有PDF檔可以下載,這份白皮書不但描述了現在駭客常用的入侵手法,過程有如複雜的推理小說。此外,也勾勒出了有哪些企業受害的樣貌,某些真相可能超出我們的想像。下面就是我們簡單的將這份白皮書摘要說明。
暗鼠行動所用的入侵手法
McAfee分析了這台被入侵者用來進行命令與控制的伺服器,發現這台機器主要被用來執行三種類型的混合攻擊,其實這些手法都不是很新鮮,但令人驚訝的是「時間」,這台電腦從2006年開始就被入侵,在長達五年的時間,除了執行攻擊命令以外,還包含了不斷的擴張入侵到別的電腦。這個攻擊者(或是組織)所用的手法,簡單來說,就是眼光要準、手法要快、手段要狠。
眼光要準:一開始先準備內含有惡意代碼的釣魚信件作為敲門磚,但要敲誰的門呢?主要要選擇那些位於大組織中,具有足夠管理權限的「對的人」。找到對的人,就把信件傳送過去。
手法要快:這些惡意代碼多半是利用一些系統漏洞而產生的,因此,要趁早在還沒有更新漏洞的系統執行,才會主動去下載啟動木馬程式,一旦成功執行這個程式,就會啟動一連串緊接而來的攻擊:首先啟動一個後門程序,在你的電腦中開放一個頻道分配給入侵者的命令與控制伺服器,而命令與控制伺服器(為Web伺服器的形式 )的作用就是把入侵指令內嵌在網頁的編碼中,受到入侵的電腦將會解密並且執行這個指令。此時,這個電腦就成為攻擊者的禁臠,而且因為攻擊指令是透過HTTP網頁形式並加密發送,一般的安全防護軟體很難查出。
手段要狠:接下來入侵者就可以大張旗鼓地入侵這台電腦,並且以這台電腦為立足點,在組織內橫向地擴張入侵到其他電腦,持續地追加被入侵的電腦數量,並且快速追殺想要的關鍵數據。
受害組織多樣化
經過分析的日誌,他們建立出一個相當龐大的受害者組織樣貌圖。顯示在這五年之間,全球至少有72個組織為明確的被攻擊的目標(在日誌中發掘到受到感染、入侵的組織遠高於這個數目,不過都因為攻擊目標不明確、可能僅是跳板而被排除)。被列為攻擊目標的組織形形色色,從聯合國、全球一百強企業、非營利性組織、奧運會、軍火商都有,而入侵的國家也不僅只有美國,還包含台灣、中國、印度、韓國、越南、加拿大。
▲受害組織涵蓋範圍:政府機關、工業機構、高科技機構、軍事單位、財務單位、非營利機構。
如果以國家來看這些受害組織,則其中受到最多攻擊的還是美國,為49個組織。不過值得注意的是,在亞洲地區的受害國家數量也不少,有13個組織,其中台灣以及南韓各有三個組織中箭,中國則有一個。
(後面還有:駭客想要什麼利益?台灣受害狀況、幕後黑手是中國駭客?)
重開後如船過水無痕就沒有這詭異的行為發生。