卡巴斯基：2018年度安全大事件盘点

一、概述

互联网现在已经融入了生活的方方面面，许多人在网上进行交易、购物和社交，网络已经成为了商业组织的生命线。政府、企业和消费者对技术的依赖，也为具有各种动机的攻击者提供了广泛的攻击面——金融盗窃、数据窃取、基础设施破坏、名誉受损等等。网络攻击的范围，从高度复杂的特定目标攻击，到机会主义网络犯罪。通常，这两者都依赖于将心理学操纵作为危害整个系统或个人计算机的方式。攻击者的目标不断扩大，已经开始覆盖到一些不属于计算机的设备，例如儿童玩具和安全摄像头。本文主要针对2018年发生的重大事件和安全趋势进行年度总结。

二、针对特定目标的攻击活动

在今年内的安全分析师峰会上，我们分析了Slingshot，这是一个复杂的网络间谍平台，从2012年以来一直瞄准中东和非洲的受害者。我们在威胁事件中发现了这种威胁，该威胁与Regin和ProjectSauron类似。Slingshot使用了一种不同寻常的攻击载体，许多受害者受到被攻陷的MikroTik路由器的攻击。攻陷路由器的确切方法尚不清楚，但攻击者已经找到了向设备添加恶意DLL的方法：该DLL是其他恶意文件的下载程序，然后将其存储在路由器上。当系统管理员登录并配置路由器时，路由器的管理软件会在管理员的计算机上下载并运行恶意模块。Slingshot在受感染的计算机上加载了许多模块，其中最引入注意的两个模块是Cahnadr和GollumApp，它们分别是内核模式和用户模式的模块。二者共同提供持久性、管理文件系统、泄漏数据以及与C&C(命令和控制)服务器通信的功能。我们查看的样本，标记为“版本6.X”，表明这一威胁已经存在相当长的一段时间。

根据Slingshot的创建时间、技能和成本表明，其背后的团队是高度组织化和专业化的，并且可能有国家背景。在平昌冬季奥运会开幕后不久，我们就收到了针对奥运会基础设施的恶意软件攻击报告。Olympic Destroyer攻击了一些显示器，关闭了Wi-Fi，攻陷了奥运会网站从而阻止观众打印门票。攻击者还攻击了该地区的其他一些组织，例如一些韩国的滑雪胜地。Olympic Destroyer是一种网络蠕虫，其主要目的是从受害者的远程网络共享中擦除文件。在攻击发生后的几天中，基于此前网络间谍和攻击团队的一系列特征，世界各地的研究团队和媒体将此次袭击归咎为俄罗斯、中国和朝鲜。我们的研究人员也试图分析攻击的幕后黑手，在研究的过程中，我们发现Lazarus恶意组织似乎与此次攻击相关。

我们发现，攻击者留下的一些独特痕迹与此前Lazarus恶意软件的组件完全匹配。然而，我们在韩国一家受到攻击的组织进行现场调查时发现，此次攻击与已知的Lazarus TTP(战术)相对比，其动机明显不同。我们发现相应的特征与代码无法相互匹配，该攻击中的恶意软件被伪造成与Lazarus使用的指纹完美匹配。因此我们得出结论，其所使用的“指纹”是一个复杂的虚假标志，故意放置于恶意软件内部，以便使威胁研究人员找到，从而误导他们。

我们继续追踪这一APT组织的活动，并在今年6月注意到他们已经开始一个针对不同地理范围的新型攻击。根据我们的远程监测和对鱼叉式网络钓鱼文件的分析，表明在Olympic Destroyer背后的攻击者主要针对欧洲的金融行业和生物技术相关组织发动攻击，特别是俄罗斯、荷兰、德国、瑞士和乌克兰。在早期，Olympic Destroyer的主要目标是摧毁冬奥会及相关的供应链、合作伙伴和场馆的基础设施，并且之前已经进行了一次侦查活动。这样的证据表明，新的恶意活动是另一个侦查阶段的一部分，随后会进行一系列具有新动机的破坏性攻击。其针对的各种金融相关目标和非金融目标也表明，具有不同目的的多个恶意组织正在使用相同的恶意软件。这可能是网络攻击外包的结果，这种情况在民族国家威胁中并不少见。然而，以金融为目标很可能也是恶意组织的一个“幌子”，从而掩盖其真实的目的。

在今年4月，我们披露了Parliament活动的运作情况，这是一项针对世界各地立法、行政和司法组织的网络间谍活动，主要集中在中东和北非地区，特别是巴勒斯坦。这些攻击始于2017年初，主要针对议会、参议院、州政府及其官员、政治学家、军事和情报机构、政府部门、媒体机构、研究中心、选举委员会、奥运组织、大型贸易公司等。此次目标受害者不同于此前在该地区的恶意活动(Gaza Cybergang和Desert Falcons)，并且在这次恶意攻击之前，恶意组织精心进行了信息收集活动。在进一步感染之前，攻击者一直非常小心的验证受害设备，从而保护他们的C&C服务器。在2018年以后，攻击速度放缓，可能是由于攻击者已经实现了目标。

我们持续追踪Crouching Yeti(又名Energetic Bear)的恶意活动，这是一个自2010年以来一直活跃的APT集团，主要以能源和工业公司为目标。该恶意组织面向全球各地发动攻击，但特别关注欧洲、美国和土耳其，土耳其是该恶意组织在2016-2017年期间新增的目标。该恶意组织的主要策略是发送包含恶意文档的网络钓鱼电子邮件，以及借助托管工具、日志和水坑攻击来感染服务器。美国CERT和英国国家网络安全中心(NCSC)已经公开讨论过Crouching Yeti针对美国目标的恶意活动。今年4月，卡巴斯基实验室ICS CERT提供了有关被Crouching Yeti感染和恶意利用的服务器的信息，并提供了针对2016年和2017年初被该恶意组织攻陷的几台Web服务器的分析结果。读者可以在这里查阅完整报告，但以下是我们总结的摘要：

• 除了极少数例外情况，该恶意组织使用公开的工具来进行攻击。正因如此，使得根据攻击行为追溯到恶意组织的这一过程非常困难。
• 当攻击者希望建立一个“跳板”，对目标设施开展进一步攻击时，互联网上任何存在漏洞的服务器都有可能受到攻击。
• 该恶意组织执行的大多数任务，都是寻找漏洞、在各类主机上获得持久性，以及窃取身份验证数据。
• 恶意攻击的受害者来自不同行业，同时也表明攻击者具有多种目的。
• 在某种程度上，可以确定该恶意组织的运营方式是接受外部客户的资金支持或接受订单，然后进行初始数据收集，窃取身份验证数据，并获得相应攻击资源的持久性，以便攻击者进一步执行恶意活动。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!