根据卡巴斯基实验室全球研究和分析团队(GReAT),复杂的威胁攻击者正在积极破解和入侵其他攻击组织,目的是窃取受害者数据,借鉴其他组织的攻击工具和技巧,循环使用各自的基础设施——这使得安全研究人员获取准确的威胁情报变得更为困难。
根据卡巴斯基实验室全球研究和分析团队(GReAT),复杂的威胁攻击者正在积极破解和入侵其他攻击组织,目的是窃取受害者数据,借鉴其他组织的攻击工具和技巧,循环使用各自的基础设施——这使得安全研究人员获取准确的威胁情报变得更为困难。
准确的威胁情报依赖于识别特定威胁攻击者的攻击模式和工具。这些知识能够让研究人员更好地了解攻击者的目的、目标和行为,帮助安全组织判断这些攻击的风险级别。当威胁攻击者开始互相攻击,交换使用工具、基础设施甚至受害者时,这种判断威胁的模式很快就开始崩溃了。
卡巴斯基实验室认为,这些攻击很可能是由得到政府支持的攻击组织实施的,主要攻击外国或能力较差的威胁攻击者。最重要的是IT安全研究人员应当学习如何发现和解释这些攻击的迹象,以便将其呈现在自己的威胁情报中。
在对这类攻击机会的详细研究中,全球研究和分析团队研究人员确定了两种主要方法:被动的和主动的攻击。主动攻击涉及拦截其他攻击组织传输中的数据,例如受害者和命令控制服务器之间的数据传输,这类攻击几乎无法检测。主动攻击涉及入侵其他威胁攻击者的恶意基础设施。
主动攻击被检测到的风险较大,但是也有更多好处,因为这种攻击能够让攻击者定期从受攻击目标获取信息,监控其目标和受害者,甚至能够潜在植入自己的恶意软件或以受害者的名义实施攻击。主动攻击的成功在很大程度上依赖于目标在操作安全上出现错误。
全球研究和分析团队在调查特定威胁攻击者时,遇到过多个奇怪和意想不到的证据,表明这些主动攻击早就已经在现实中发生了。
例子包括:
另一个攻击组织的命令控制(C&C)基础设施被安装了后门程序
在黑客网络中安装后门程序,能够让攻击者在另一个攻击组织的攻击操作中长期逗留。卡巴斯基实验室的研究人员在野外发现了两起使用后门程序的攻击案例。
其中一起是在2013年发现的,当时是在对一个名为NetTraveler的使用中文并针对亚洲激进人士和组织实施攻击的攻击组织的服务器进行分析时发现。第二起是在调查一个被使用Crouching Yeti(又被称为Energetic Bear)入侵的网站进行调查时发现的,Crouching Yeti是一个使用俄语的威胁攻击者,从2010年开始就针对工业行业实施攻击。研究人员注意到,短短一段时间内,管理C&C网络的控制台被修改了一个指向中国的远程IP的标签(可能伪旗行为)。 研究人员认为这是属于另一攻击组织的后门程序,尽管没有迹象表明是谁的后门。
共享被入侵网站
2016年,卡巴斯基实验室研究人员发现一个被使用韩语的名为DarkHotel攻击组织入侵的网站,同时还发现该网站还提供了另一个名为ScarCruft的攻击组织的漏洞利用脚本,该攻击组织主要针对俄罗斯、中国和韩国的组织进行攻击。DarkHotel的运营时间可追溯到2016年4月,而ScarCruft攻击在一个月后实施,这表明ScarCruft在实施自己的攻击之前就发现了DarkHotel攻击。
通过代理实施攻击
渗透一个在某个地区或行业领域拥有强大能力的攻击组织,使攻击者能够降低成本并改善目标,从受害者的专业知识中受益。
有些威胁攻击者选择共享受害者,而不是从其他攻击者手中窃取受害者。这是一种具有风险的做法,因为如果其中一个攻击组织不够先进,被抓只,那后续的取证分析可能会揭露出另一个攻击者。2014年11月,卡巴斯基实验室报道称,一台属于中东研究机构的服务器被称为威胁磁铁,原因是它同时被多种攻击组织所入侵,其中包括极度复杂的威胁攻击者Regin和Equation Group(使用英语)、Turla和ItaDuke(使用俄语),还有Animal Farm(使用法语)和Careto(西班牙语)。事实上,这台服务器正是用来发现Equation Group的切入点。
“即使是最佳时间,对威胁进行定性也是困难的,因为线索很少见,而且很容易被操纵,现在还需要考虑威胁攻击者之间互相攻击和入侵因素的影响。随着更多的攻击组织利用对方的工具包、受害者和基础设施,插入自己的恶意软件或采用受害者的身份进一步攻击,威胁追踪者如何才能够建立一个清晰和准确的威胁蓝图呢?我们发现的一些例子暗示这种攻击情况正在野外发生着,所以威胁情报研究人员需要暂停下来,调整分析高级威胁攻击者时所采取的思路,”卡巴斯基实验室全球研究和分析团队首席安全研究员Juan Andres Guerrero-Saade说。
为了跟上快速演化的威胁环境,卡巴斯基实验室建议企业部署整合了顶尖威胁情报技术的全面安全平台。卡巴斯基实验室的企业安全组合通过其下一代端点安全套件为企业提供威胁预防,基于卡巴斯基反针对性攻击平台进行检测,通过其威胁情报服务进行预测和事件响应。
有关威胁攻击者如何获取和重用其他攻击小组的元素(包括工具重用和恶意软件集群)以及其对威胁情报的影响等更多详情,请参阅Securelist.
要了解更多有关卡巴斯基实验室私人情报报告服务详情,请联系:intelreports@kaspersky.com
