近日,安全公司Cylance公开了一个针对日本商业和关键基础设施,代号“沙尘暴”行动的黑客活动。“沙尘暴”行动幕后之手至少从2010年起已开始活动,黑客已把日本、韩国、美国和其他亚洲国家的几个组织作为了攻击目标。
黑客组织资金充足
专家相信此是资金充足的专业组织所为, 且有些情况导致研究者猜测或有国家组织的参与。
Cylance研究员揭露幕后之手从2015年开始集中精力于日本组织机构,他们的黑客攻陷了日本电力、石油和天然气,交通运输,财政和建筑行业等组织机构的网络。
受害者列表中含有一家汽车制造商,一家韩国电力公司的日本子公司,以及石油天然气公司。
“水坑”和“鱼叉钓鱼”式攻击的习惯,展现了这些黑客的“军火库”中独立后门和零日漏洞是多么有效。在2015年五月实施的大量攻击中,针对韩国和日本目标,此组织还使用了几种安卓后门。
得益于“沙尘暴”行动幕后组织发动的这些攻击不够复杂。在2011年,当其黑客依靠Adobe Flash Player(CVE-2011-0611) 和Internet Explorer(CVE-2011-1255) 零日漏洞来传播Misdat后门的一个变种时,研究员注意上了这个组织。
“尽管此组织增加了一些其主要后门针对亚洲攻击的突出程度,此次威胁在2010年期间几乎没有什么公开信息可以获取。”Cylance 发布的报告中陈述到,“直到2011年,从一系列的攻击中撬出一个以建立目标网络据点为目标的Internet Explorer 8 的无补丁漏洞,CVE-2011-1255,“沙尘暴”行动开始浮出水面。”
以往记录
2011年10月, 黑客以收集穆阿迈尔·卡扎菲死后带来的利比亚危机的相关情报为目标。在2012年,此组织祭出了 Internet Explorer 零日漏洞 (CVE-2012-1889)来配合其网络间谍活动。
Cylance 的专家注意到在2013年3月, “沙尘暴”行动活动锐减,恰逢Mandiant的代号为APT1的中国APT组织分析报告发布之后……
在2014年2月,“沙尘暴”行动幕后组织再现, 启动了一系列攻击,祭出了新的Internet Explorer零日漏洞(CVE-2014-0322) 来用于水坑攻击。
Cylance 的研究员坚信, 针对日本关键基础设施的攻击将会快速增长。
“无论如何,我们相信针对日本关键基础设施和能源公司的特性攻击不会间断,并且很有可能持续至将来逐步升级扩大。”Cylance总结道。
