McAfee 實驗室 Dmitri Alperovitch 最近公布了一份安全報告,在這份報告中根據他們分析駭客所用的命令與控制伺服器,分析了其中攻擊日誌,發現在過去五年以來,駭客組織所進行的一連串有系統的攻擊行為,描繪出一個跨國際、跨產業的受害者樣貌,為至今以來所發現最大規模的攻擊行動,連台灣也有三間組織受害。
根據這份公布的調查報告指出,目前駭客攻擊的目的已經從早期純粹想挑戰權威、想出名,演進到想要從中得利、騙取金錢,現在則是蛻變為一種相當複雜的,包含獲取商業及國家機密,威脅國家安全的高科技犯罪。為了讓大眾更明瞭現在駭客的可怕性,他們公布了一個最近發現的案例,這個案例是由特定單一的個人或組織,所進行的為期長達5年的大規模系統攻擊行動,而McAfee內部將這項行動命名為「Operation Shady RAT」(暗鼠行動,RAT指的是Remote Access Tool)。
整個「Operation Shady RAT」的調查白皮書在McAfee網站上有PDF檔可以下載,這份白皮書不但描述了現在駭客常用的入侵手法,過程有如複雜的推理小說。此外,也勾勒出了有哪些企業受害的樣貌,某些真相可能超出我們的想像。下面就是我們簡單的將這份白皮書摘要說明。
暗鼠行動所用的入侵手法
McAfee分析了這台被入侵者用來進行命令與控制的伺服器,發現這台機器主要被用來執行三種類型的混合攻擊,其實這些手法都不是很新鮮,但令人驚訝的是「時間」,這台電腦從2006年開始就被入侵,在長達五年的時間,除了執行攻擊命令以外,還包含了不斷的擴張入侵到別的電腦。這個攻擊者(或是組織)所用的手法,簡單來說,就是眼光要準、手法要快、手段要狠。
眼光要準:一開始先準備內含有惡意代碼的釣魚信件作為敲門磚,但要敲誰的門呢?主要要選擇那些位於大組織中,具有足夠管理權限的「對的人」。找到對的人,就把信件傳送過去。
手法要快:這些惡意代碼多半是利用一些系統漏洞而產生的,因此,要趁早在還沒有更新漏洞的系統執行,才會主動去下載啟動木馬程式,一旦成功執行這個程式,就會啟動一連串緊接而來的攻擊:首先啟動一個後門程序,在你的電腦中開放一個頻道分配給入侵者的命令與控制伺服器,而命令與控制伺服器(為Web伺服器的形式 )的作用就是把入侵指令內嵌在網頁的編碼中,受到入侵的電腦將會解密並且執行這個指令。此時,這個電腦就成為攻擊者的禁臠,而且因為攻擊指令是透過HTTP網頁形式並加密發送,一般的安全防護軟體很難查出。
手段要狠:接下來入侵者就可以大張旗鼓地入侵這台電腦,並且以這台電腦為立足點,在組織內橫向地擴張入侵到其他電腦,持續地追加被入侵的電腦數量,並且快速追殺想要的關鍵數據。
受害組織多樣化
經過分析的日誌,他們建立出一個相當龐大的受害者組織樣貌圖。顯示在這五年之間,全球至少有72個組織為明確的被攻擊的目標(在日誌中發掘到受到感染、入侵的組織遠高於這個數目,不過都因為攻擊目標不明確、可能僅是跳板而被排除)。被列為攻擊目標的組織形形色色,從聯合國、全球一百強企業、非營利性組織、奧運會、軍火商都有,而入侵的國家也不僅只有美國,還包含台灣、中國、印度、韓國、越南、加拿大。
▲受害組織涵蓋範圍:政府機關、工業機構、高科技機構、軍事單位、財務單位、非營利機構。
如果以國家來看這些受害組織,則其中受到最多攻擊的還是美國,為49個組織。不過值得注意的是,在亞洲地區的受害國家數量也不少,有13個組織,其中台灣以及南韓各有三個組織中箭,中國則有一個。
(後面還有:駭客想要什麼利益?台灣受害狀況、幕後黑手是中國駭客?)
利益在哪裡?
分析這些受害組織,對於勾勒出背後的駭客的樣貌反而更加困難。因為這些組織的多樣化,像是包括了國際奧運委員會(IOC)以及美國向全球推行民主政策的非營利機構、東南亞國際協會這些單位的機密應該是毫無經濟利益可圖。但是駭客卻對這些單位表現了高度的興趣。
另外,每一年駭客的胃口變化也不同,在2006年,開始的這一年,他透過命令與控制伺服器所下達的指令僅有八個:兩個用在南韓的鋼鐵製造公司上,一個在南韓的政府組織上,一個用在能源研究實驗室,一個攻擊美國資產評估公司、一個用在亞洲的國際貿易組織、以及另外兩個單位。
到了2007年,他的胃口突然變大,在這一年間,他所攻擊的組織共有29個。到了2008年,則是攻擊了36個組織,2009年則變為38個達到顛峰。之後,2010年則縮減到17個,2011年則是9個。之後似乎駭客發現了被監控的這台伺服器似乎曝光了,因此設計了新的入侵手法、換了新的命令與控制伺服器,巧妙地轉移陣地逃脫了監控。
在這五年間,有九個組織被入侵的時間少於一個月,顯示這些組織不是沒有什麼資訊可圖,就是資訊很輕易被得手。這九個組織包括國際奧林匹克委員會、越南政府持有的科技公司、一間亞洲的國際貿易組織、加拿大政府部門以及五個美國政府單位。而入侵時間最長的則是某個亞洲國家的奧委會,入侵時間長達28個月,在2010年一月結束。
台灣受害狀況
在這份報告中將72個組織被入侵的開始時間以及期間製作了一個列表,在這裡我們僅把跟我們有關的三間台灣企業組織列出:
台灣某電子公司:入侵時間2007年九月,入侵期間為八個月
台灣某政府部門:入侵時間2008年四月,入侵期間為八個月
由於在這份報告中,為了某些原因,並不公布明確的單位或是組織,因此雖然台灣有三個部門被入侵,但是在組織列表中,我們只看到有兩個單位有標示台灣。那麼剩下的一個單位是什麼呢?根據小編研究了一下白皮書中的表格,發現有三個沒有明確標示國籍的亞洲國家單位如下:
這三個組織其中又有兩個亞洲國家的奧委會被入侵,也就是說,我們有三分之一的機會,可能就是那個被駭客長期觀察達28個月的那個倒楣的國家。而有三分之二的機會,就是我們的奧委會有駭客長期在作客。
真的是這樣嗎?白皮書最後有一份所有組織被入侵的時間軸總表,試圖從入侵時間的交互比對,來還原駭客入侵的真正目的。由於這份時間軸規模太大也太長,無法完整包含,在此僅放上一小段截圖。
▲箭頭所指為報告未公布所在國家的某亞洲奧委會
中國駭客是幕後黑手?
好吧,讓我們回想一下2008年發生了什麼跟奧委會有關的事情?
是的,就是北京奧運會。從公布的入侵國家數來看,中國有一個組織遭到入侵,但是從入侵組織總表格中,中國並沒有出現在表格的國家欄位中,再加上2008年的北京奧運會活動,因此這個被眷顧最長時間的奧委會國家,很有可能是中國的奧委會。
小編查了一下2008年與奧運相關的新聞,查到以下這則:
......不法分子 以「international.olympic@gmail.com」和「iinternational. olympic2008@gmail.com」等名義,用中文向北京奧組委及奧運運動員發出有關奧運訊息的電郵,這些電郵的AdAdat PDF檔案附件藏有攻擊性惡意軟體,收件者只要打開電郵,不僅電腦感染病毒,還會自動將電腦上的機密資料外洩。
雖然PDF檔案附件本 身空白,帶到電腦上的惡意可執行程式則會讓收件者看到與電郵新聞稿內容相若的PDF檔案,讓收件者在不知情下將病毒電郵傳到其他新聞和體育組織。最近一宗 個案,最少九個網域被五十七封電郵襲擊,這些電郵包含關連到國際奧委會的新聞稿和媒體資訊,內容來自國際奧委會網站......
畢竟北京奧運為當年度最熱門的議題,也是駭客可以好好利用的一種話題工具,因此,入侵中國奧委會,應該是當年許多駭客的目標。
此外,根據美國戰略暨國際研究中心(CSIS)的網路安全專家路易斯(Jim Lewis)解讀這份報告,從他的角度來看,他推斷那個受到入侵的就是中國的奧委會。而且從整個時間軸以及受到威脅的國家來看,幕後的駭客很有可能是中國或是俄國人。不過由於中國的受益較多,再加上中國駭客的能力本來就是世界知名,因此推斷這個駭客組織是中國人的可能性較大。
▲Jim Lewis認為這都是阿共ㄟ陰謀啦!