北韩骇客的攻击行动近期不断出现在新闻版面,例如,上周五我们报导除了北韩骇客,160亿笔帐密资料曝光、锁定主机代管业者的大规模DDoS攻击、俄罗斯骇客利用应用程式专用密码(ASP)挟持Gmail,以及美国保险公司Aflac疑似遭Scattered Spider攻击的情况,也引起各界高度关注。
【攻击与威胁】
上周资安新闻网站Cybernews揭露近160亿笔帐密资料外泄事故,这些资料来自30个公开的资料库,每个资料库内含数千万至35亿余笔记录,来源疑似是透过窃资软体(Infostealer)收集而得。这项消息一出,引起许多资安专家提出警告,呼吁用户最好尽速更换Google、脸书、Apple等各项网路帐号的密码,并启用双因素验证,因为上述曝光的外泄资料很有可能遭到滥用,骇客一旦取得,就有机会存取使用者各式帐密,进而用于接管帐号、窃盗身分,以及针对性网钓攻击。
值得留意的是,Cybernews也提及这些资料库曝光的时间并不长,大部分的资料库能透过Elasticsearch或物件储存执行个体存取,但无法识别资料库的所有者身分。虽然资料数量过于庞大,研究人员无法对不同资料库的内容进行比对,因此他们无法确认有多少重复资料,但研究人员指出大部分的资料遵循著相当固定的结构, 依序是:URL、登入资讯、密码,而这也是窃资软体汇整偷到资料最常见的格式。
不过,对于这些资料的解析,有研究人员提出不同的看法。资安业者Hudson Rock指出,根据他们的统计资料,平均每台遭窃资软体感染的电脑会被偷走50组帐密资料,换言之,Cybernews揭露的这批资料,骇客必须在3.2亿台电脑植入窃资软体才能取得。但这样的感染规模与全球实际受害情况相比多上不少,显得不切实际,因此,Hudson Rock推测这批资料不仅有许多重复,还有过时资料,甚至可能有人工产生的内容。
内容递送网路暨域名服务业者Cloudflare 5月阻挡了一次7.3 Tbps的分散式阻断服务攻击,这波攻击发生在5月中,7.3 Tbps的流量也破了Cloudflare第一季才刚公布的6.5 Tbps的纪录。
遭到攻击的对象为Cloudflare服务的一家主机代管业者,历时45秒,总流量约为37.4 TB,这样的流量有多庞大?相当于每分钟5 MB的影音串流7,480小时、9,350部HD高解析度影片(一部以4 GB计算)、935万首4 MB的MP3歌曲,或是1,250万张高解析度(每张为3 MB)的照片。
特别的是,Cloudflare也提及骇客不同连接埠发动攻击的现象,整起攻击行动里,对方平均针对同一个IP位址轰炸21,925个连接埠,最高峰更轰炸了34,517个。其中99.996%的攻击流量为UDP洪水攻击,剩下0.004%约1.3GB的流量包含QOTD反射攻击、Echo反射攻击、NTP反射攻击、Mirai UDP洪水攻击、Portmap洪水和RIPv1放大攻击等多种攻击管道。
Google威胁情报小组(Google Threat Intelligence Group,GTIG)与加拿大的公民实验室(Citizen Lab)揭露一起来自俄罗斯国家级骇客的攻击行动,主要利用社交工程手法及应用程式专用密码(Application Specific Password,ASP)来绕过多因素身分验证(MFA),进而入侵受害者的Gmail或其他Google服务。
此波攻击行动被Google命名为UNC6293,并认为与俄罗斯资助的APT29有关。受害者之一是英国的俄罗斯专家Keir Giles,他揭露许多俄罗斯的秘密活动,也撰写大量有关俄罗斯入侵乌克兰的文章。
Giles在今年5月22日收到自称是美国国务院官员Claudie Weber的来信,对方自称是美国国防部顾问,邀请Giles参与一场线上会议。虽然Weber通讯时使用Gmail,但也将副本送到@state.gov邮件位址,在双方十多次的书信往来之后,Weber即寄送了一个PDF档,引导Giles于他的Gmail电子邮件帐号中生成应用程式专用密码,并将它指定给一个名为ms.state.gov的程式使用,再截图回传。最后是Google发现了相关攻击,锁住受影响帐号、禁用骇客的Gmail帐号。