中国网安企业曝光南亚一极度活跃攻击组织:来自印度,目标为中巴政府、军事单位!
原标题:中国网安企业曝光南亚一极度活跃攻击组织:来自印度,目标为中巴政府、军事单位!
【环球时报-环球网报道 记者 郭媛丹】19日晚间,中国网络安全企业安天科技集团将要发布的一篇报告披露,针对中国和巴基斯坦等国政府、国防等实体实施规模性定向网络攻击的攻击团队“幼象”的人员分布在印度德里等地,该组织是当前南亚地区最为活跃的网络攻击组织之一。
此前安天安全研究与应急处理中心(安天CERT)发布报告表示,今年3月以来,安天已捕获多起针对我国和南亚次大陆国家的“钓鱼”攻击活动,攻击方来自印度。这些活动涉及网络节点数目众多,主要攻击目标为中国、巴基斯坦等国家的政府、国防军事以及国企单位。最新报告则聚焦在“幼象”组织,对该组织在南亚地区的网络攻击活动进行全方位分析,将对方攻击目标、攻击技术、攻击装备进行全面披露,将身穿“隐身衣”,躲在屏幕后的攻击者曝光于天下。
安天科技集团副总工程师李柏松首先介绍“幼象”网络攻击组织的由来:“安天CERT最早监测到‘幼象’活动是在2017年,当时出现了一批针对南亚地区国家政府、军事、国防等部门的规模性定向网络攻击。根据对相关攻击活动的分析研判发现,攻击组织疑似来自印度,而且与此前发现的来自印度的另一个被安天命名 ‘白象’的网络攻击组织并不相同。该组织有自己的一套相对独立的攻击资源和攻击工具,但当时攻击能力相对比较初级,可能是一个新组建的攻击团队,技术能力上尚不成熟。因此我们将这个新的高级威胁组织命名‘幼象’。”
四年过去了,这支“幼象”肆意妄为,攻击目标不断扩大。李柏松表示, “从2017年迄今, ‘幼象’攻击活动的规模数量逐年倍增,攻击手法和攻击资源逐渐丰富,且攻击目标也从初期仅为南亚地区开始覆盖更多的地区。2021年,该组织开始向中国的相关机构进行情报窃取的定向攻击活动。”
安天监测到,该组织采取的攻击方式包括搭建钓鱼网站、使用恶意安卓应用程序攻击手机,用Python等语言编写的木马窃取电脑上的各种文档文件、浏览器缓存密码和其他一些主机系统环境信息。
比如,“幼象”曾仿冒成尼泊尔军队、警察、政府等部门(如尼泊尔外交部、国防部、总理办公室等)的邮件系统,针对性地向目标人群进行钓鱼攻击,其主要目的是获取目标人群邮箱账号信息,以便为后续的攻击活动做储备。此外,该组织通过恶意安卓应用程序伪装成印度-尼泊尔领土争端问题的民意调查App,当受害者安装并打开恶意安卓应用程序后,恶意安卓应用程序便会要求受害者授予其系统权限,成功获得权限后,其便监控受害者手机。
在安天此次披露的文件中,最为重要的一点是:“幼象”攻击者通过向国际公开的安全资源上传自己编写的木马,来测试木马逃逸杀毒软件的能力,但也因此暴露了其所在位置。通过资源检索,至少一名样本的上传者来自印度德里,其在2020-11-23至2020-11-24期间一共上传了8个测试性的恶意文件,而这些测试文件与已知的‘幼象’样本在代码内容上也存在高度同源。
“从历史上看,来自印度的一些攻击组织的活动隐蔽性并不强,一方面可能是组织攻击能力不够完善,但更多的则反映了攻击人员有恃无恐,因此一名人员的物理位置,也很大可能就是整个攻击组织所在地。”李柏松解释:“尽管相关的攻击方式在不断多样化,编写的恶意文件功能也更加丰富,但通过攻击目标、技战术、诱饵类型以及木马同源性等方面依然可以发现与 ‘幼象’组织的关联。首先,攻击活动的攻击目标高度重叠,如尼泊尔、巴基斯坦、阿富汗等印度周边国家。其次,使用的技战术、诱饵类型以及武器装备也与’幼象’的历史情况高度关联,如恶意的快捷方式、恶意HTA脚本、自研的Python木马以及自研的C++木马。同时两者的Python窃密木马都会将窃取的数据回传至自建的Gmail邮箱账号。此外,该组织使用的域名命名方式十分相似,都是模仿巴基斯坦、尼泊尔、斯里兰卡等国家的政府机构、国企单位官方域名,同时两者都喜欢使用美国网络服务提供商No-IP旗下的动态域名,如hopto.org、myftp.org等。因此我们判断相关攻击活动都归属于‘幼象’组织。”
李柏松表示,种种迹象显示,“幼象”已成长为南亚地区最为活跃和成熟的攻击组织之一,已经成为了南亚乃至整个亚太重要的网络安全威胁,从攻击活跃的频度来看,目前已有超越同源的 “白象” “苦象”组织的趋势,未来很有可能成为南亚的主要攻击组织,因此需要对其进行重点跟踪和关注。而遭遇“幼象” 组织攻击的南亚相关国家经济相对不发达,信息化运维和网络安全能力较弱,给了攻击组织可乘之机,但这些国家和其他国家一样,无论是在物理空间还是网络空间,都有捍卫本国主权、安全和发展利益的权力。
责任编辑:王翔