APT進階持續性威脅(Advanced Persistent Threat)雇用服務擴大了攻擊對象範疇,中小企業尤其必須重新慎思其威脅模型(threat model)需求該如何面對。
文/Lucian Constantin 譯/Nica
並非所有人都是網路間諜活動的目標。這個說法的前提是,大部份企業皆建置了自有的威脅模型與網路防禦能力。很可惜,這樣的狀態正在迅速改變。將自己的服務賣給私人單位的可雇用駭客團隊,猛然出現在資安公司掃盪範圍,許多還沒準備好處理進階持續性威脅(APT)的企業組織產生了盲點。
日前,資安公司 Kaspersky Lab 與 Bitdefender 分別釋出兩種類型僱傭集團的報告。一份發現目標鎖定金融業的律師事務所;另一份則鎖定建築業與影視公司。這還只是過去幾年一系列類似報告所發現的最新案例。
「我們發現這種過去由國家資助的APT集團所使用的戰術與技巧,如今被用於攻擊小型企業的趨勢。」Bitdefender全球網路安全調查員Liviu Arsene說明。「可能意謂著這種新『APT即服務』(APT-as-a-service)的模式是老手威脅行動團隊才能提供。時代轉變到惡意軟體即服務,指出我們來到網路犯罪產業的新篇章,僱傭駭客提供APT即服務,無論在國家資助式攻擊方面或身為大型APT組織的一部份,都能磨練駭客技巧,使之成為新常態。」
中小型企業同樣身陷APT風險
任何企業無論大小、無論產業,是否擔負得起不將APT納入威脅模型分析裡的後果?問題的答案已漸趨否定,逐漸升溫的嚴重議題在中小企業中尤甚,因為它們沒有資安產品、預算或有能力偵測並應變這類攻擊的員工。
「中小企業將必須完全徹底改造威脅模型分析、建置新的安全性策略,並重新調整資安預算,」Bitdefender的Arsene說明。「如果過去,中小企業大部份APT級外洩事件屬於供應鏈攻擊的一部份,那麼APT傭兵為出最高價者提供服務,幾乎可以說是中小企業獵捕季的來臨。」
「就我的看法是,大部份企業移往雲端是比較合理的作法,因為這麼一來它們便能有擁有比較好的保障,因為雲端服務供應商資安團隊更能有效偵測與抵禦APT。」Maurer如此表示。「就小型企業而言,可能只有一個忙於試圖維持最新漏洞更新的員工,就不會有頻寬能夠有效地針對更進階威脅提供保障。我不認為這種狀況會很快結束。就從過去十年來看,具有攻擊性網路能力的民族國家行動者數量,已由六國成長到如今超越三十個國家。知識與能力繁殖的速度,持續超越國家(與企業組織)能夠有效自我保護的程度。」
Maurer還發現,雲端供應商在專注持續投資優質資安、並保障其客戶上享有盛譽,因為任一客戶的雲端資產外洩新聞事件,也會提及雲端供應商名號,無論它們是否有責任。這也就是說,多數雲端外洩事件的發生是由於不安全的組態,而責任最終還是落在平台使用者上。雖然移往雲端可能為部份企業組織減少網路監控的負擔,但企業組織還是必須確保其雲端伺服器與資產的組態安全無誤。
Arsene認為,其他選項還包括「端點偵測與回應」(EDR)及「託管式偵測與回應」(MDR)解決方案,這些選擇已變得就算中小企業也能負擔,還能提供先前只有能夠建置自有資訊安全監控中心(SOC)的企業所能提供的安全性等級。
「對小公司──尤其是具高度競爭與金融驅動垂直產業而言,最大挑戰在於不但缺乏優質資安與IT專業人員,也沒有足以點出可疑行為的資安工具。」Arsene解釋道。「中小型企業應著眼於增加資安堆疊,不僅止於惡意軟體偵測資安工具,還要有端點與網路層兼顧的可視性工具。優質資安人員的缺乏,可以用管理得當的偵測與反應小組解決:不僅評估企業基礎架構與建議資安與強化工具,還扮演專業資安獵捕團隊,針對可疑事件執行威脅獵捕的任務。」
[ 下載 2020-21 CIO大調查報告,掌握最新企業IT導入趨勢 ]
APT雇佣會是新趨勢?
網際網路地下世界想當然存在雇用駭客的行為。甚至有證據顯示中國與俄羅斯這類獨立國家,從網路犯罪圈招募駭客以利進行該國情報工作。這些駭客繼而能夠學到精密的APT式技巧、戰術與程序(TTP),之後就能充份運用在駭客犯罪活動上。或者,他們組織僱傭集團販售自己的技術,給想要滲透競爭者或操控金融市場的私人組織。
部份組織甚至是由販售駭客服務予第三方客戶的民族國家所組成、訓練與支援。北韓情況就是如此。2020年四月份,美國國務院、財務部、國土安全部與FBI發表一份北韓網路威脅的聯合聲明,內容提到「朝鮮民主主義人民共和國(DPRK)網路行動者,收費為第三方客戶進行駭入網站與勒索目標的動作。」
「我發現此事相當值得留意,這其實是告誡大家網路威脅版圖其實還要複雜很多的重要提示,而我也不認為當今報上的文章或政策制定者會考量到這些。」Cyber Mercenaries: The State, Hackers, and Power一書的作者Tim Maurer如此表示,他同時也是外交政策智囊團卡內基國際和平基金會(Carnegie Endowment for International Peace)網路政策倡儀的聯合董事。「我認為只有極少數的人真的完全意識到這些不同類型的角度。北韓必須賺很多錢,因而用這種獨特的行為模式。不過這還引發一些值得注意的問題:網路能力,如何經由這些行為在國際之間驅動。」
據Maurer說法,這些各懷鬼胎的一些駭客或駭客組織-政府單位或兼職僱傭駭客,很可能是為了讓企業組織在遭受攻擊時難以知曉攻擊者真正目的,以及遭竊資料可能引發什麼或如何利用。
提供雇佣駭客服務這種僱傭集團數量的成長,也是由商品化及多年來APT式技術與工具公開釋出驅使形成的趨勢其中一部份。許多網路犯罪集團與勒索軟體幫派利用手動破壞與無檔案式執行的技術,濫用scripting語言及系統管理者或IT資安專家也使用的兩用工具,在網路內部發動長達數月之久的偵察及側向移動操作,開發為各個受害者量身訂作的有效負載等更多行為。
僱傭集團使用針對性攻擊媒介
Bitdefender在最近的報告中指出,近期一起針對全球設有辦公室並參與紐約、倫敦、澳大利亞與阿曼建案的房地產開發商的APT式攻擊。該開發商客戶還包括備受矚目的建築師與世界知名室內設計師。
僱傭集團引起Bitdefender留意的軌跡是:這些駭客是使用 Autodeck 3DS Max 異常插入元件(plugin),傳遞惡意軟體的植入載體,這是一套知名3D動畫與模組化程式。這暗示了該僱傭集團確切知曉目標是誰、他們關注的資料有哪些,以及哪個軟體可以讓他們不當利用、潛入其中。
「調查期間,Bitdefender調查人員還發現,資安威脅者擁有整套間諜技術功能強大的工具集。」該公司強調。「在Bitdefender的遙測技術下,我們還發現以相同命令與控制伺服器通訊的其他類似惡意軟體案例。地點就在南韓、美國、日本與南非。有可能網路犯罪集團也已經在這些區域鎖定特定受害者了。」
六月,Bitdefender釋出的報告指出另一個名為StrongPity的嫌疑僱傭集團,具有以財務及地緣政治為目標的僱傭網路犯罪集團特質。另一個名為Barium或Winnti、必須為涉及知名軟體的一連串供應鏈攻擊負責的老字號APT集團,亦透過先前操作手法與受害者研究,顯現出對網路間諜及經濟利益的興趣。
[ 加入 CIO Taiwan 官方LINE,與全球CIO同步獲取精華見解 ]
DeathStalker與通用scripting語言
Kaspersky報告的重點是代號DeathStalker的僱傭集團公司近期活動,它們使用的工具與追溯到2012年的其他惡意軟體植入有幾分相似。這個團隊最近被發現目標鎖定金融業或與之合作的單位,包括律師事務所、財務諮詢顧問公司與金融科技公司。已確認的受害者遍及阿根近、中國、塞普勒斯、以色列、黎巴嫩、瑞士、台灣、土耳其、英國與阿拉伯聯合大公國。
DeathStalker如今使用的植入載體(implant)是以PowerShell撰寫的Powersing,PowerShell這套常遭濫用的scripting語言是Windows裡提供的,用途是自動化系統管理任務。這個惡意軟體經由內含惡意LNK附加檔案的魚叉式釣魚攻擊電子郵件傳遞。Powersing載體最著名手法是找到社交網站上的各種「秘密情報傳遞」(dead drops),繼而從作者內嵌文字留下的意見內容取得命令控制(C&C)伺服器URL。用於進行秘密情報交換的網站則包括Google+、Imgur、Reddit、Tumblr、Twitter、YouTube與WordPress等站。
Powersing定期與C&C伺服器聯繫以便取得命令,這麼做有兩個目的:從受害者機器抓取周期性螢幕擷取,並將這些畫面傳給C&C伺服器,執行C&C提供的任意Powershell script。這兩個簡單功能,賦與攻擊者相當大的權力。一是允許他們在受害者身上執行偵察,二是透過手動方式破壞,擴大感染。
Kaspersky Lab已找出擴散方式裡的相似處─LNK檔,與秘密情報傳遞的使用,甚至還發現部份程式碼與過去發現的另兩個惡意軟體系列Janicab與Evilnum相似,它們使用的是不同的scripting語言:VBE與JavaScript。Kaspersky的調查員認為這些相似處雖未能提供決定性證據,但在某種程度上可以確信,Powersing、Evilnum與Janicab由同一群人操控。
依受害者類型與駭客追求的資訊來看,Kaspersky深信DeathStalker屬於僱傭集團,為私人企業提供駭客雇佣服務,或讓自己成為資訊掮客,在金融圈販售擷取的資料。
「我們深信DeathStalker們選擇目標全然是以它們認定的價值為基礎,或者依客戶要求。」Kaspersky在其報告中如此表示。「基於此,我們協助金融業內可能吸引DeathStalker注意的所有公司企業,無論他們身在何處。」
(本文授權非營利轉載,請註明出處:CIO Taiwan)