6月16日,中国网络安全企业安天科技集团对记者披露,来自印度的一个定向威胁攻击(APT攻击)组织针对印度境内以及包括中国在内的周边目标,发动了长达十年的网络攻击活动。
隐藏多年的“暗象”
安天将该组织命名为“暗象”,其主要针对目标为印度境内的社会活动人士、社会团体和在野政党等,同时也会窃取印度周边国家(如中国和巴基斯坦等)军事政治目标的重要情报。安天借鉴了国际其他安全团队研究成果,并补充了“暗象”组织针对我国重要单位的网络攻击活动分析成果,最后通过溯源分析锁定该组织背后的运营人员可能位于东5.5时区(印度国家标准时间)。
安天科技集团副总工程师李柏松对记者介绍,“暗象”组织的主要攻击手段是通过谷歌/雅虎邮箱或者盗取的邮箱账号,向目标发送内容极具迷惑性的鱼叉式钓鱼邮件,诱骗目标运行其采用多种免杀技巧,包含成熟商用远控木马载荷的诱饵文件,“至少自2012年以来,该组织针对印度境内的目标,以及包括中国在内的印度周边的目标,发动了长达十年的网络攻击活动。因为该攻击组织通过网络攻击手段,构陷印度国内社会活动人士,手段极其暗黑,是比马·科雷冈(Bhima Koregaon)案件中诬陷社会运动人士的执行者,其行动隐蔽,暗藏十年有余而鲜有曝光,于是将该组织命名为‘暗象’。”
2018年1月,比马·科雷冈发生种姓暴力冲突,其间印共的城市领导层遭到印度官方严厉打击。印度知名社会活动家罗纳·威尔森成为此案被告之一,而这正是源自“暗象”组织长期布局,构陷虚假电子证据。早在2016年6月13日下午3点07分,罗纳·威尔森收到一封来自其一位好友的电子邮件,信中提醒威尔森下载查看附件中的文档。事实上这是黑客窃取这位好友的邮箱账号后发送的木马文件,攻击者不仅从威尔森的电脑中进行一系列窃密操作,并且能够通过NetWire木马远程控制其电脑系统。
此外,该组织也将目标对准了我国军事政治目标。根据介绍,2020年10月13日,国内某重要单位信箱收到一份可疑的电子邮件,发件人使用Gmail邮箱,邮件主题为“关于丢失带有敏感文件的外交包的信”,并在正文中提供了一条可供下载可疑文件的网盘链接。当自解压诱饵被执行后,四个木马程序开始运行,安天科技集团副总工程师李柏松解释,“这种ParallaxRAT远控木马属于公开的商业远控,具备文件管理、击键记录、远程桌面、密码窃取、命令执行、进程管理、上传和执行等能力,功能运行都成熟稳定,足以支持常规的窃密操作。”
据了解,安天对来自疑似印度的网络攻击的捕获分析始于2013年,先后捕获、分析、命名并曝光了“白象”“幼象”“苦象”等攻击组织。李柏松表示:“在过去近10年的攻击中,印度的网络攻击重心逐渐从巴基斯坦转移到中国。而通过对‘暗象’攻击组织的活动监测,我们可以看到印度相关机构不仅极为频繁地对周边国家实施网络攻击,同时也将网络攻击手段广泛用于国内社会管控,甚至用来构陷其国内社会活动人士,行动隐蔽能力较强,值得关注与警惕。”
正在成熟的“幼象”
早在2021年11月19日晚间,中国网络安全企业安天科技集团将要发布的一篇报告披露,针对中国和巴基斯坦等国政府、国防等实体实施规模性定向网络攻击的另一攻击团队“幼象”的人员分布在印度德里等地,该组织是当前南亚地区最为活跃的网络攻击组织之一。
此前安天安全研究与应急处理中心(安天CERT)发布报告表示,今年3月以来,安天已捕获多起针对我国和南亚次大陆国家的“钓鱼”攻击活动,攻击方来自印度。这些活动涉及网络节点数目众多,主要攻击目标为中国、巴基斯坦等国家的政府、国防军事以及国企单位。最新报告则聚焦在“幼象”组织,对该组织在南亚地区的网络攻击活动进行全方位分析,将对方攻击目标、攻击技术、攻击装备进行全面披露,将身穿“隐身衣”,躲在屏幕后的攻击者曝光于天下。
李柏松首先介绍“幼象”由来:“安天CERT最早监测到‘幼象’活动是在2017年,当时出现了一批针对南亚地区国家政府、军事、国防等部门的规模性定向网络攻击。根据对相关攻击活动的分析研判发现,攻击组织疑似来自印度,而且与此前发现的来自印度的另一个被安天命名‘白象’的网络攻击组织并不相同。该组织有自己的一套相对独立的攻击资源和攻击工具,但当时攻击能力相对比较初级,可能是一个新组建的攻击团队,技术能力上尚不成熟。因此我们将这个新的高级威胁组织命名为‘幼象’。”
安天监测到,该组织采取的攻击方式包括搭建钓鱼网站、使用恶意安卓应用程序攻击手机,用Python等语言编写的木马窃取电脑上的各种文档文件、浏览器缓存密码和其他一些主机系统环境信息。
比如,“幼象”曾仿冒成尼泊尔军队、警察、政府等部门(如尼泊尔外交部、国防部、总理办公室等)的邮件系统,针对性地向目标人群进行钓鱼攻击,其主要目的是获取目标人群邮箱账号信息,以便为后续的攻击活动做储备。此外,该组织通过恶意安卓应用程序伪装成印度-尼泊尔领土争端问题的民意调查App,当受害者安装并打开恶意安卓应用程序后,恶意安卓应用程序便会要求受害者授予其系统权限,成功获得权限后,其便监控受害者手机。
在安天此次披露的文件中,最为重要的一点是:“幼象”攻击者通过向国际公开的安全资源上传自己编写的木马,来测试木马逃逸杀毒软件的能力,但也因此暴露了其所在位置。通过资源检索,至少一名样本的上传者来自印度德里,其在2020年11月23日至24日期间一共上传了8个测试性的恶意文件,而这些测试文件与已知的‘幼象’样本在代码内容上也存在高度同源。
李柏松表示,种种迹象显示,“幼象”已成长为南亚地区最为活跃和成熟的攻击组织之一,已经成为了南亚乃至整个亚太重要的网络安全威胁,从攻击活跃的频度来看,目前已有超越同源的 “白象” “苦象”组织的趋势,未来很有可能成为南亚的主要攻击组织,因此需要对其进行重点跟踪和关注。而遭遇“幼象”组织攻击的南亚相关国家经济相对不发达,信息化运维和网络安全能力较弱,给了攻击组织可乘之机,但这些国家和其他国家一样,无论是在物理空间还是网络空间,都有捍卫本国主权、安全和发展利益的权力。
中国是网攻主要受害国
近些年,印度军政高层和媒体不断炒作“中国网攻威胁”,每次都遭到中方驳斥。事实证明,中国才是黑客攻击的主要受害国之一。安天科技集团、360政企安全集团和奇安信三大中国网络安全企业相关人士给记者提供了大量翔实的一手资料,从中可以发现印度对我国重要部门频密发动网络攻击的重要信息。相关专家也提醒,针对境外网络攻击,中国要提升自身免疫力,不管是来自印度还是美国的攻击都需要专业的团队分析对手,并采取相应的反制方式。
作为引领威胁检测与防御能力发展的网络安全国家队,安天科技集团一直在跟踪对我国发起的“钓鱼”攻击。安天科技副总工程师李柏松告诉记者,今年3月以来,安天已捕获多起针对我国和南亚次大陆国家的“钓鱼”攻击活动。这些活动涉及网络节点数目众多,主要攻击目标为中国、巴基斯坦、尼泊尔等国家的政府、国防军事以及国企单位。安天科技发现,这一批次“钓鱼”攻击的最早时间可追溯至2019年4月份,攻击组织来自印度。
记者也从360政企安全集团获悉,2020年,360监控并捕获到的初始攻击载荷共有上百个。来自以印度为主要代表的南亚地区的网络攻击有活跃趋势,从2020年下半年开始一直持续至目前,并呈大幅上升趋势。
360安全专家表示,来自印度等南亚国家的网络攻击涉及题材丰富多样,紧跟时事热点,且目标针对性极强,可以推断其背后有专门针对目标国家相关领域时事新闻的情报分析,同时以此来指导其进行网络攻击活动。
为应对来自网络空间的挑战,中国政府推出一系列法律措施,以建立一个网络安全治理系统。自2017年以来,中国几乎从零开始建立起一套完善的网络安全法律保障机制。复旦大学网络空间国际治理研究基地主任沈逸还建议,中国应从提升网络安全防御能力和威慑能力两方面来进行网络安全建设。中国的网络空间要有在开放环境、数据跨境流动、基本零信任条件下的有效防御能力。同时,要建立信息的通报机制,如美国经常写报告,把矛头指向中国,以此制约中国的网络空间国际治理,而中国也要采取相应的反制方式。
中国网络空间战略研究所所长秦安告诉记者,现在网络空间军事化的大趋势已形成,一些国家开始加强对外网络攻击。秦安认为,对中国来说,要提升自己的免疫力,“洪水、污水都是水,不管是来自印度还是美国的攻击都需要专业的团队分析对手,专门应对”。 (据环球网)