针对中国骇客利用Operational Relay Box(ORB)网路来隐匿网路攻击的现象,有资安业者警告有越来越泛滥的现象,他们看到过往未被发现的ORB网路,已暗中活动近2年。
除了ORB网路,去年攻击多家美国电信业者的中国骇客组织Salt Typhoon,继卫星电信业者Viasat遭骇后,如今传出加拿大也有电信业者受害的情况;此外,恶名昭彰的勒索软体Anubis号称窃得巴黎迪士尼乐园内部资料、更难察觉恶意行为的安卓金融木马GodFather,以及针对GitHub储存库的供应链攻击都相当值得留意。
【攻击与威胁】
中国骇客架设Operational Relay Box(ORB)网路用于攻击活动,借此隐匿行踪,一年多前资安业者Mandiant曾对这种手法提出警告,当时研究人员发现骇客利用虚拟专用伺服器(VPS),以及存在弱点的物联网(IoT)装置、路由器组成ORB网路,借此混淆受害装置与C2基础设施的流量,这种网路相当难以捉摸,其中一个在2019年就开始运作。如今有研究人员指出,有人在两年前也架设这类网路设施,直到最近才被发现。
资安业者SecurityScorecard揭露名为LapDogs的ORB网路,骇客主要透过小型办公室(SOHO)的Linux作业系统装置建置而成,研判最早从2023年9月开始运作并逐步扩张规模,至少有一千台受到感染的节点在积极活动。这些骇客主要利用后门程式ShortLeash入侵受害装置,使得攻击者能隐密地从事活动。
此ORB网路的攻击具有高度地域性,骇客主要用于攻击台湾、香港、韩国、日本,但在其他东南亚国家与美国也有灾情。受害组织涵盖房仲业者、IT与网路服务业者、多媒体公司等领域。附带一提的是,研究人员提及LapDogs与名为PolarEdge的ORB网路有共通的基础设施特性,但战术、手段、流程(TTP)与凭证管理存在不同的地方,因此他们认为LapDogs是独立的ORB网路。
根据资安新闻网站HackRead的报导,Anubis近期在他们的暗网网站声称,巴黎迪士尼乐园(Disneyland Paris)是最新的受害组织,并表明窃得64 GB内部资料。
究竟这批档案有那些内部资料?骇客宣称包含约3.9万份工程档案,涉及「冰雪奇缘」、「加勒比海盗」、「巴斯光年」,以及云霄飞车Crush’s Coaster等游乐设施的建设与翻新计划。为了佐证他们说法的真实性,骇客在数小时后公布部分档案内容,但是否有员工或游客的资料外泄,目前仍不得而知。
至于骇客窃取这批资料的管道,他们并非直接入侵巴黎迪士尼乐园,而是从其中一家发生资安事故的合作伙伴取得。不过,巴黎迪士尼乐园并未对此公开说明,因此外界目前也无法确定Anubis是否对其进行勒索。
为了在安卓手机上能窃取机密资料,许多恶意软体通常会透过覆盖画面等手法引诱使用者上当,但如今出现更复杂的手段,用户更难察觉有异。
行动装置资安业者Zimperium揭露名为GodFather的金融木马,此恶意程式对全球近500款银行应用程式的用户而来,主要集中对土耳其下手。这款恶意软体与过往的金融木马最大的不同,就是采用一种进阶的装置端虚拟化技术(On-device Virtualization),而能挟持数种合法的应用程式,其中包含行动银行及加密货币相关的App。
由于这种新手法是在受害装置建立完整的、隔离的虚拟化环境,有别于一般恶意程式是借由伪造的登入画面来骗取帐密资料,此恶意软体能在受害手机部署带有虚拟化框架的恶意「主机」应用程式,并用来下载真实的行动银行与加密货币App,然后透过攻击者的沙箱环境执行。一旦受害者启用手机里的正牌应用程式,攻击者就会将他们重新导向虚拟化环境的另一个App,使得这些用户的一举一动,包含点选、输入的资料内容,都受到GodFather的监控。
◆◆