賽門鐵克:中國駭客攻擊美國及東南亞衛星通訊
美國網路安全公司賽門鐵克(Symantec)的人工智慧分析系統最近發現,來自中國的駭客組織自2013年就開始攻擊美國和東南亞國家的衛星通訊、電信、地理空間成像活動和軍事領域的網路。
賽門鐵克自2013年開始追蹤這一他們取名為「Thrip」的網路攻擊組織。賽門鐵克的人工智慧「針對性攻擊分析」(TAA)工具在2018年1月發現,來自中國的電腦開展了惡意行動。
美國之音引述賽門鐵克執行長(CEO)克拉克(Greg Clark)說,Thrip使用標準的作業系統工具,所以那些被襲擊的組織不會意識到。「他們的活動很安靜、融入到網路中,我們使用了人工智慧、查明並標記了他們的活動,這才將他們發現。」
賽門鐵克的聲明說,Thrip的襲擊屬於網路間諜行為,但暴露了他們破壞襲擊目標的作業系統的策略,因此可能判定,該組織可對目標採取更具破壞性的活動。
聲明說,駭客組織這次對電信部門和衛星作業系統的襲擊行動顯示,駭客可以攔截甚至篡改營運部門傳輸給用戶的通信。
克拉克說,「讓人警覺的是,這一組織似乎對電信、衛星作業系統和防務公司特別感興趣。」
賽門鐵克:一駭客集團專門鎖定美國與東南亞衛星、電信與國防展開攻擊
資安業者賽門鐵克(Symantec)本周揭露一名為Thrip的駭客集團,該集團使用中國境內的3台電腦駭進美國與東南亞的衛星通訊業者、電信業者與國防承包商,目的是為了攔截通訊。且Thrip還採用了不容易被偵測的「離地攻擊」(living off the land)攻擊手法,以藏蹤匿跡並遮掩身分。
根據賽門鐵克的追蹤,Thrip攻擊最令人擔憂的應是它鎖定了一家衛星通訊業者,且對該業者的操作細節特別感興趣,企圖感染執行衛星監控暨控制軟體的電腦,令人懷疑駭客的目的不只是為了攔截通訊,可能還包括摧毀衛星通訊。另一個攻擊目標則是涉及地理空間成像與繪製的組織,駭客亦對其操作端有濃厚興趣。
Thrip集團還鎖定了3家位於東南亞的電信營運商,以及一家國防承包商。
事實上,Thrip集團自2013年就藉由駭客攻擊展開間諜行動,初期該集團仰賴的是客製化的惡意程式,但從去年以來的最近幾波攻擊已大規模改採「離地攻擊」工具。
所謂的「離地攻擊」是利用作業系統功能或合法的網路管理工具來入侵目標網路,企圖把惡意行為隱身於合法的程序中。遭到駭客濫用的合法工具包括微軟的PsExec系統工具、微軟的腳本工具PowerShell、免費的權限變更工具Mimikatz、開源的FTP客戶端WinSCP,以及遠端存取軟體LogMeIn等,當中除了Mimikatz的名聲不佳之外,其它都是經常被使用的合法工具。
在使用上述合法工具入侵之後,駭客也會針對感興趣的電腦部署客製化的惡意程式。
賽門鐵克表示,目前看來間諜行為是Thrip集團最有可能的動機,但由於駭客也嘗試危害業者的操作系統,不排除會採取更積極的破壞性行為。賽門鐵克並未揭露遭Thrip鎖定的組織名稱。
