賽門鐵克：一駭客集團專門鎖定美國與東南亞衛星、電信與國防展開攻擊

資安業者賽門鐵克（Symantec）本周揭露一名為Thrip的駭客集團，該集團使用中國境內的3台電腦駭進美國與東南亞的衛星通訊業者、電信業者與國防承包商，目的是為了攔截通訊。且Thrip還採用了不容易被偵測的「離地攻擊」（living off the land）攻擊手法，以藏蹤匿跡並遮掩身分。

根據賽門鐵克的追蹤，Thrip攻擊最令人擔憂的應是它鎖定了一家衛星通訊業者，且對該業者的操作細節特別感興趣，企圖感染執行衛星監控暨控制軟體的電腦，令人懷疑駭客的目的不只是為了攔截通訊，可能還包括摧毀衛星通訊。另一個攻擊目標則是涉及地理空間成像與繪製的組織，駭客亦對其操作端有濃厚興趣。

Thrip集團還鎖定了3家位於東南亞的電信營運商，以及一家國防承包商。

事實上，Thrip集團自2013年就藉由駭客攻擊展開間諜行動，初期該集團仰賴的是客製化的惡意程式，但從去年以來的最近幾波攻擊已大規模改採「離地攻擊」工具。

所謂的「離地攻擊」是利用作業系統功能或合法的網路管理工具來入侵目標網路，企圖把惡意行為隱身於合法的程序中。遭到駭客濫用的合法工具包括微軟的PsExec系統工具、微軟的腳本工具PowerShell、免費的權限變更工具Mimikatz、開源的FTP客戶端WinSCP，以及遠端存取軟體LogMeIn等，當中除了Mimikatz的名聲不佳之外，其它都是經常被使用的合法工具。

在使用上述合法工具入侵之後，駭客也會針對感興趣的電腦部署客製化的惡意程式。

賽門鐵克表示，目前看來間諜行為是Thrip集團最有可能的動機，但由於駭客也嘗試危害業者的操作系統，不排除會採取更積極的破壞性行為。賽門鐵克並未揭露遭Thrip鎖定的組織名稱。