随著国际政治局势日益紧张,在国防产业占有重要地位的航太领域,这两年也成为攻击目标,而这些骇客多半是锁定美国而来,但如今,有骇客广泛针对多个国家攻击航太产业。
例如,近期伊朗骇客组织APT35的攻击行动,就是典型的例子,这些骇客针对航太及半导体产业,架设冒牌征才网站来引诱特定人士上当,从而于受害电脑植入恶意程式。
【攻击与威胁】
拥有Charming Kitten、Mint Sandstorm等匿称的伊朗骇客组织APT35,自2014年出没以来,主要的攻击范围在中东及美国,针对能源、政府机关、科技服务单位下手,但在最近一起攻击行动里,这些骇客因为扩大活动的范围,而引起资安研究人员的注意。
威胁情报业者ThreatBook指出,他们发现APT35最新一波攻击,锁定航太及半导体产业而来,攻击范围横跨美国、泰国、阿拉伯联合大公国(UAE)、以色列。骇客运用假造的征才网站及公司网站,并要求使用者必须透过VPN存取为由,诱骗他们下载恶意程式并执行。过程中对方滥用合法云端服务,例如:OneDrive、Google Cloud、GitHub,从而隐匿行踪。
针对这起资安事故的发现,研究人员表示是发现专门针对航太产业的冒牌征才网站,该网站提供授权存取的应用程式,当中掺入了黑、白两种恶意软体元件(研究人员对于APT35使用的恶意软体归纳为两种型态,但并未说明相关定义),主要的攻击目标,他们推测是泰国专精无人机设计的专家。经过一系列的分析,研究人员确认攻击者的身分就是APT35。
12月3日上市餐饮集团新天地于股市公开观测站发布重大讯息,公告他们遭受DDoS攻击的情况。事发当下,该公司立即启动相关防御机制因应。
对于这起事故可能会造成的影响,新天地指出,目前评估未有个资或内部文件资料外泄的情况,对于公司的营运,没有重大影响。他们将持续提升网路及资讯基础架构的安全管控,以确保资讯安全。
其他攻击与威胁
◆备份与资料保护软体厂商Veeam,于12月3日发布Veeam Service Provider Console(VSPC)远端管理控制台的2个漏洞,这些漏洞会影响8.1.0.21377版以前,以及更早8.x与7.x版的VSPC,该公司释出修补版本8.1.0.21999。
首先,是严重性高达9.9分的重大漏洞CVE-2024-42448,当VSPC管理代理程式在Veeam管理伺服器上获得执行的授权时,将能在伺服器远端任意执行各种程式码。
其次,是严重性7.1分的低风险漏洞CVE-2024-42449,当VSPC管理代理程式在伺服主机上获得授权时,有可能导致泄漏VSPC伺服器主机服务帐户的NTLM杂凑,并删除伺服器上的档案。
◆为他人打造网路攻击工具,很有可能会吃上官司。11月28日韩国国家警察局宣布,他们逮捕1名执行长及5名员工,原因是这些人涉嫌制造含有DDoS攻击能力的卫星接收器,而被买家用于攻击竞争对手。
这些人所属的公司自2017年与买家往来,向他们销售卫星接收器,到了2018年11月,买家要求设备必须含有DDoS攻击能力,该制造商从2019年1月至2024年9月向他们卖出24万台卫星接收器,其中9.8万台预载DDoS攻击模组,其余则是透过韧体更新引入相关功能。
上述6人被控违反《促进资讯和通讯网路利用暨资讯保护法》,法院批准没收该公司资产,并没收销售这批设备的不法所得610亿韩元(相当于约435万美元)。韩国警方将寻求国际合作,追踪并逮捕购买设备的广播公司。