中國網安企業曝光南亞一極度活躍攻擊組織:來自印度,目標為中巴政府、軍事單位

fans news 發佈 2021-11-18T18:08:53+00:00

19日晚間,中國網絡安全企業安天科技集團將要發布的一篇報告披露,針對中國和巴基斯坦等國政府、國防等實體實施規模性定向網絡攻擊的攻擊團隊「幼象」的人員分布在印度德里等地,該組織是當前南亞地區最為活躍的網絡攻擊組織之一。

來源:環球時報-環球網

【環球時報-環球網報導 記者 郭媛丹】19日晚間,中國網絡安全企業安天科技集團將要發布的一篇報告披露,針對中國和巴基斯坦等國政府、國防等實體實施規模性定向網絡攻擊的攻擊團隊「幼象」的人員分布在印度德里等地,該組織是當前南亞地區最為活躍的網絡攻擊組織之一。

此前安天安全研究與應急處理中心(安天CERT)發布報告表示,今年3月以來,安天已捕獲多起針對我國和南亞次大陸國家的「釣魚」攻擊活動,攻擊方來自印度。這些活動涉及網絡節點數目眾多,主要攻擊目標為中國、巴基斯坦等國家的政府、國防軍事以及國企單位。最新報告則聚焦在「幼象」組織,對該組織在南亞地區的網絡攻擊活動進行全方位分析,將對方攻擊目標、攻擊技術、攻擊裝備進行全面披露,將身穿「隱身衣」,躲在屏幕後的攻擊者曝光於天下。

安天科技集團副總工程師李柏松首先介紹「幼象」網絡攻擊組織的由來:「安天CERT最早監測到『幼象』活動是在2017年,當時出現了一批針對南亞地區國家政府、軍事、國防等部門的規模性定向網絡攻擊。根據對相關攻擊活動的分析研判發現,攻擊組織疑似來自印度,而且與此前發現的來自印度的另一個被安天命名 『白象』的網絡攻擊組織並不相同。該組織有自己的一套相對獨立的攻擊資源和攻擊工具,但當時攻擊能力相對比較初級,可能是一個新組建的攻擊團隊,技術能力上尚不成熟。因此我們將這個新的高級威脅組織命名『幼象』。」

四年過去了,這支「幼象」肆意妄為,攻擊目標不斷擴大。李柏松表示, 「從2017年迄今, 『幼象』攻擊活動的規模數量逐年倍增,攻擊手法和攻擊資源逐漸豐富,且攻擊目標也從初期僅為南亞地區開始覆蓋更多的地區。2021年,該組織開始向中國的相關機構進行情報竊取的定向攻擊活動。」

安天監測到,該組織採取的攻擊方式包括搭建釣魚網站、使用惡意安卓應用程式攻擊手機,用Python等語言編寫的木馬竊取電腦上的各種文檔文件、瀏覽器緩存密碼和其他一些主機系統環境信息。

比如,「幼象」曾仿冒成尼泊爾軍隊、警察、政府等部門(如尼泊爾外交部、國防部、總理辦公室等)的郵件系統,針對性地向目標人群進行釣魚攻擊,其主要目的是獲取目標人群郵箱帳號信息,以便為後續的攻擊活動做儲備。此外,該組織通過惡意安卓應用程式偽裝成印度-尼泊爾領土爭端問題的民意調查App,當受害者安裝並打開惡意安卓應用程式後,惡意安卓應用程式便會要求受害者授予其系統權限,成功獲得權限後,其便監控受害者手機。

在安天此次披露的文件中,最為重要的一點是:「幼象」攻擊者通過向國際公開的安全資源上傳自己編寫的木馬,來測試木馬逃逸殺毒軟體的能力,但也因此暴露了其所在位置。通過資源檢索,至少一名樣本的上傳者來自印度德里,其在2020-11-23至2020-11-24期間一共上傳了8個測試性的惡意文件,而這些測試文件與已知的『幼象』樣本在代碼內容上也存在高度同源。

「從歷史上看,來自印度的一些攻擊組織的活動隱蔽性並不強,一方面可能是組織攻擊能力不夠完善,但更多的則反映了攻擊人員有恃無恐,因此一名人員的物理位置,也很大可能就是整個攻擊組織所在地。」李柏松解釋:「儘管相關的攻擊方式在不斷多樣化,編寫的惡意文件功能也更加豐富,但通過攻擊目標、技戰術、誘餌類型以及木馬同源性等方面依然可以發現與 『幼象』組織的關聯。首先,攻擊活動的攻擊目標高度重疊,如尼泊爾、巴基斯坦、阿富汗等印度周邊國家。其次,使用的技戰術、誘餌類型以及武器裝備也與』幼象』的歷史情況高度關聯,如惡意的快捷方式、惡意HTA腳本、自研的Python木馬以及自研的C++木馬。同時兩者的Python竊密木馬都會將竊取的數據回傳至自建的Gmail郵箱帳號。此外,該組織使用的域名命名方式十分相似,都是模仿巴基斯坦、尼泊爾、斯里蘭卡等國家的政府機構、國企單位官方域名,同時兩者都喜歡使用美國網絡服務提供商No-IP旗下的動態域名,如hopto.org、myftp.org等。因此我們判斷相關攻擊活動都歸屬於『幼象』組織。」

李柏松表示,種種跡象顯示,「幼象」已成長為南亞地區最為活躍和成熟的攻擊組織之一,已經成為了南亞乃至整個亞太重要的網絡安全威脅,從攻擊活躍的頻度來看,目前已有超越同源的 「白象」 「苦象」組織的趨勢,未來很有可能成為南亞的主要攻擊組織,因此需要對其進行重點跟蹤和關注。而遭遇「幼象」 組織攻擊的南亞相關國家經濟相對不發達,信息化運維和網絡安全能力較弱,給了攻擊組織可乘之機,但這些國家和其他國家一樣,無論是在物理空間還是網絡空間,都有捍衛本國主權、安全和發展利益的權力。

關鍵字: