先前美国政府与微软联手提出警告,中国骇客Volt Typhoon最近几年,各家资安业者不断警告中国骇客锁定企业组织的边界网路设备而来,利用其弱点植入恶意程式,从而监控网路通讯、窃取帐密资料,甚至是架设代理伺服器,滥用流量作为攻击的跳板,如今有资安业者揭露他们长期的调查结果,指出这是大型的网路犯罪生态系统。
资安业者Sophos揭露大规模攻击行动Pacific Rim,经过他们5年以上的深入调查,包含Volt Typhoon、APT31、APT41(Winnti)等中国骇客组织,锁定多家知名厂牌网路设备发动攻击的情况,这些攻击行动包含僵尸网路、漏洞利用,植入恶意软体。他们发现骇客在四川地区从事相关的漏洞研究利用及开发,找出的漏洞很可能后续提供给多个由中国政府资助的骇客组织运用。
针对这波长期调查的结果,研究人员认为,对于资源充沛的攻击者而言,网路边际设备已成为高价值的目标,而且,这些攻击者有政府在背后撑腰,不光单纯针对Sophos的防火墙设备,其他厂牌的网路设备也是这些骇客的目标,值得留意的是,骇客并非只针对高价值的标的而来,而是有可能控制这些网路设备,并在其他攻击行动里,将其用来混淆攻击来源。
今年8月、9月,资安业者Team Cymru及Sekoia针对僵尸网路Quad7的攻击行动提出警告,指出骇客锁定TP-Link、兆勤(Zyxel)、华硕、Ruckus等厂牌的网路设备而来,最近有新的调查结果出炉,发动攻击的骇客可能与中国有关。
10月31日微软发布调查报告指出,他们从2023年8月开始,发现有客户遭到入侵的情况,而这些资安事故的共通点,在于骇客成功窃得帐密资料,而能够在高度回避侦测的情况下,进行密码泼洒(password spray)攻击,研究人员循线找到遭骇装置组成的僵尸网路,并指出中国骇客Storm-0940使用该僵尸网路窃得的帐密资料。
研究人员指出,这个僵尸网路由SOHO路由器组成,其中又以TP-Link的网路设备占大多数,根据他们的调查,经营该僵尸网路的人士很可能位于中国,并透过路由器的漏洞而能够远端执行程式码进行相关攻击,而且,有多组中国骇客使用该僵尸网路窃得的帐密资料,其中一组人马就是自2021年开始活跃的Storm-0940。
国家级骇客彼此互通有无,交换战术及共享恶意程式的情况相当常见,但如今有国家级骇客与网路犯罪生态圈打交道的情况,引起研究人员的注意。
资安业者Palo Alto Networks表示,他们确认匿称为Onyx Sleet、Jumpy Pisces的北韩骇客组织Andariel,参与了近期的勒索软体Play攻击行动,这样的情况代表该组织的策略出现变化,针对这样的现象,研究人员指出,此为这批人马首度运用现有的勒索软体基础设施情况,后续动态相当值得留意。
针对这样的现象,研究人员推测,很有可能Andariel部分派系正与经营勒索软体Play的骇客团体Fiddle Scorpius进行合作,有可能是成为Play旗下的附属组织,或是担任初始入侵掮客(Initial Access Broker,IAB)的角色。
10月24日Arctic Wolf表示,他们最早是在8月初察觉勒索软体Akira及Fog的攻击行动显著增加的情况,而且,骇客初期入侵受害组织环境的管道,就是利用SonicWall防火墙设备的SSL VPN帐号。
截至10月中旬,骇客已发起约30起攻击行动,这些资安事故当中,约有四分之三与Akira有关,其余则是被植入Fog。研究人员提及,骇客从入侵到加密档案的时间并不长,大部分接近10个小时,但最短的仅有1.5至2个小时。
其他攻击与威胁
◆◆