間諜行動|國家級黑客成功入侵 37國政府及關鍵基礎設施
網絡安全公司 Palo Alto Networks 發布報告,指一個神秘黑客組織已成功滲透全球數十個國家及地區的政府及關鍵基礎設施系統,其攻擊範圍之廣、目標之敏感,已對國際社會的穩定與安全構成嚴重威脅。
Palo Alto Networks 將這次間諜行動命名為「影子戰役」(Shadow Campaign),報告指出,專家已確認攻擊者攻陷了分佈在 37 個國家的至少 70 個組織機構,偵察活動範圍更遍及全球 155 個國家的政府基礎設施。受害者的名單幾乎涵蓋了所有國家核心部門,包括執法與邊境管制機構、財政部,以及專注於貿易、自然資源和外交事務的政府部門。要攻陷眾多防備森嚴的目標,攻擊者採用了一套精密而隱蔽的多階段入侵攻擊鏈。
使用魚叉式網絡釣魚攻擊
黑客的入侵並未採用暴力破解,而是發動了魚叉式網絡釣魚(Spear-phishing)攻擊。他們精心設計釣魚電郵的內容,誘騙目標點擊連結或下載附件,從而在其系統中植入一個惡意軟件加載器。一般的惡意軟件為了避免被發現,會檢查系統中是否存在主流的數十種防毒軟件,但「影子戰役」中使用的加載器卻反其道而行,僅僅檢查五款特定的安全產品,專家指可以極大地降低觸發警報的可能性,更容易在系統中潛伏。
成功植入加載器後,攻擊便進入第二階段,在系統中部署秘密武器並橫向移動,專家發現一款前所未見的 Linux 核心層級的 R ootkit,並將其命名為「ShadowGuard」,它能夠深植於作業系統的最底層,直接修改系統核心數據,從而有效地隱藏攻擊者的行蹤,令傳統的防毒軟件和偵測工具形同虛設,攻擊者便能隨意竊取資料和監控系統活動。站穩陣腳後,攻擊者開始進行橫向擴散,以獲取更高的權限和接觸更多敏感系統。
各種證據顯示 疑與中國背景黑客有關
Palo Alto Networks 的監測數據顯示,攻擊者曾嘗試利用一系列廣泛存在於企業環境中的軟件漏洞,涵蓋了 Microsoft、SAP、Atlassian、D-Link、Apache、Commvault 以及多家中國供應商的產品。這表明攻擊者擁有一個龐大的漏洞利用工具庫,能根據目標的系統環境,靈活地選擇最有效的攻擊路徑,絕非普通黑客組織所為。
對於這次大規模入侵,幕後黑手究竟是誰?Palo Alto Networks 將該威脅組織命名為「TGR-STA-1030」,從他們使用的基礎設施顯示,組織至少從 2024 年 1 月起便已開始活躍。專家有信心斷定這是一個由國家支持、在亞洲運作的網絡間諜組織,因為攻擊者在行動中使用了源自該地區的特定工具和網絡服務;其次是在惡意編碼和基礎設施中呈現的語言偏好亦指向該區域;最後是攻擊者的活躍時間與 GMT+8 的標準工作時間高度吻合。
雖然 Palo Alto Networks 未直接點名,但種種跡象和行動模式都與外界對中國背景的黑客組織的行為相符。
