趨勢科技發布最新資安威脅研究報告 「回顧 Pawn Storm二年來的發展:審視這項日益嚴重的威脅」
【2017年5月4日台北訊】全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 日前發布最新的資安威脅研究報告「回顧 Pawn Storm二年來的發展:審視這項日益嚴重的威脅」,顯示Pawn Storm (或名為Fancy Bear、APT28)這個從 2004 年活躍至今的激進駭客間諜組織,用盡各種手段試圖從攻擊目標竊取重要資訊,他們的攻擊活動顯示出「地緣政治影響」是其國內外間諜活動的主要動機,而非金錢利益。
趨勢科技資深威脅研究專家Fyodor Yarochkin表示:「趨勢科技研究團隊發現Pawn Storm在過去兩年將攻擊火力重心聚焦於網路宣傳活動(Cyber Propaganda),光是2016 年就成長了400%的目標攻擊,目前已知受害對象包含美國民主黨全國代表大會、德國基督教民主黨、土耳其國會和政府機關、世界反運動禁藥機構、New York Times、半島電視台 (Al Jazeera)及其他多家機構。」在早期,Pawn Storm主要鎖定政府機構、軍隊進行國家滲透性的網路間諜活動;然而現在,他們把攻擊目標擴及全球不同產業與企業組織,甚至連一般公民的自由意志皆有可能受到Pawn Storm於背後的國內外輿論操縱所影響。
2016年,趨勢科技發現該團體企圖影響選情或公眾觀點,並利用盜取得來的機密資訊以操縱、影響主流媒體報導,部分主流媒體已證實此類「獨家資訊」來源自Pawn Storm團體間接或直接地提供,例如:2016年,該團體主動連繫德國明鏡週刊(Der Spiegel),並提供世界反運動禁藥機構(WADA)和美國反禁藥組織(USADA)上百封的內部郵件資料,引爆後續俄國體壇禁藥疑雲風波,動搖人民想法與國家威信。Pawn Storm頻繁利用不同的網路釣魚手法來騙取帳號登入資訊,「回顧 Pawn Storm二年來的發展:審視這項日益嚴重的威脅」介紹了三種該團體愛用的攻擊招術:
- 憑證授權釣魚詐騙(Credential Phishing Campaigns):該手法是為利用開放驗證 (Open Authentication,簡稱 OAuth)機制來從事進階社交工程詐騙,使用者通過OAuth即可不必提供帳號密碼,也可以授權第三方應用程式存取雲端服務帳號,而此種方便的做法卻同時也能讓駭客取得並登入使用者郵件或社群網站等帳號以瀏覽重要資訊,駭客首先騙過Google或Yahoo這類服務供應商的背景審查,再來發送郵件給組織高層或重要人物,建議其安裝帶有惡意程式的應用服務,如安裝他們假造的Google Defender、McAfee Email protection (Yahoo)等。
- 魚叉式釣魚郵件詐騙(Spear-Phishing Campaigns):此類手法是為寄送帶有惡意附檔文件或是惡意連結的郵件給目標對象,再來利用吸引人的內容來引誘其下載或點選,目前已知案例有使用與來自CNN、半島電視台(Al Jazeera)、赫芬頓郵報(Huffington Post)或其他真實媒體報導的相同新聞標題來誘騙使用者點擊惡意連結。
- 水坑式攻擊手法(Watering Hole Attacks):該手法為入侵目標對象經常瀏覽的合法網站,這些網站已被他們植入惡意程式碼,受害對象接著會被導入Pawn Storm的惡意網站,Pawn Storm再利用惡意程式來進行勘查活動,檢視目標對象執行中的任務、網域、共享資料夾、使用者資訊等等。
趨勢科技預測Pawn Storm在2017年接下來的幾個月,可能會有更加活躍的駭客行動,目前於三、四月間已持續發現針對正值競選期間的歐洲國家如:法國、德國和挪威等進行網路釣魚攻擊行動,像是德國的艾德諾基金會(Konrad-Adenauer-Stiftung)與法國的總統候選人馬克宏(Emmanuel Macron)競選團隊皆成為其攻擊目標,Pawn Storm逐漸因受到媒體關注而更加膽大妄為,2016 年他們因為干擾美國總統大選而多次登上媒體版面,趨勢科技預測未來類似的攻擊將屢見不鮮,也印證了趨勢科技2017年資安年度預測報告的內容:網路宣傳將成為一種常態。如同所有機構組織,政治團體也應從高層人員至伺服器機房,所有人員都必須同心協力保護機密資訊安全,否則智慧財產和機密資料一旦落入不肖之徒手中,絕對不會有好下場。為了因應Pawn Storm各式各樣的攻擊手法,趨勢科技在此提供企業與組織兩方面的資安防護做法:
- 軟硬體資產管理方面:請勿將重要的管理系統暴露於公開網路上,並隨時保持軟體更新與漏洞修補,以降低受攻擊機率,且最好維持網域名稱的最低數量,集中管理公司郵件伺服器,而為了預防DNS網域遭駭,也建議採用信譽良好且提供DNS管理帳號雙重認證機制的註冊商服務,並定期安排包含社交工程等的網路安全測試。
- 加強員工資安意識:當員工於海外旅遊或出差時,應讓他們攜帶無存有機密文件的電腦,且針對這些位於遠方的員工,也應要求其使用公司內部VPN登入系統;企業也有責任教導員工妥善管理他們個人免費郵件與社群網站帳號,告知其勿使用個人帳戶於工作用途,而在使用公司內部郵件帳戶時,也盡量不要將敏感機密資料留存於信箱中,且任何需傳送機密資料都應經過加密流程,並善用雙重認證機制或使用如USB的實體安全密鑰。
如需關於 Pawn Storm 的進一步資訊,請參閱:
回顧 Pawn Storm二年來的發展:審視這項日益嚴重的威脅 (Espionage and Cyber Propaganda: A Look into Pawn Storm’s Activities over the Past Two Years)。