去年對足球迷來說,可能是狂熱的一年,因為每4年一次的世界盃足球賽在俄羅斯舉行,各國球迷齊聚一堂,為自己的國家隊加油,也是足球巨星們展現精湛球技較勁的全球競技場。

不過,世足賽期間不僅足球場上球員表現精采,網路上也出現各種安全威脅,趨勢科技在臺灣資安大會上分享了他們對去年世足賽(6/14-7/15)期間的網路威脅研究。他們從開幕前兩週就先展開觀察,威脅的定義包含了針對世足賽官方舉辦單位及相關組織的惡意程式或惡意網站,未經授權商品及詐欺行為,還有影響實體世足賽安全。

趨勢科技利用自家的Smart Protection Network,加上線上檢測工具Virus Total、新聞媒體,以及Twitter、Instagram等SNS平臺。

趨勢科技研究員Hsiaoyu Shih表示,從我們的觀察來看,這些威脅的大多數是非官方授權的商品販售,例如票券、球衣或球帽,威脅類型主要是以惡意的電子郵件及網站為大宗。在世足賽開始的前兩週就可以看到整體的威脅上升的趨勢,惡意網站數量從世足賽開始的6月14日逐漸下降,推測可能是買到假商品的人通報,使得這類惡意網站被查封。

「這類的網路威脅通常利用人們關心的事件,相信不只會出現在世足賽,也可能發生在2020年將舉行的東京奧運上,或是大型選舉活動,這些都是吸引受害者上當很好的題材」,Hsiaoyu Shih表示。

SNS成為駭客散佈攻擊的良好管道

趨勢也對Twitter與Instagram等貼文進行威脅分析,以Twitter為例,他們先利用Twitter API鎖定12個賽場方圓1公里內的貼文,再從和世足賽相關的關鍵字如FIFA、Worldcup等過濾這些貼文,蒐集和世足賽有關的內容,其他國家語言的貼文利用Google API翻譯為英文後再蒐集,之後再對較危險的關鍵字如Weapon、Kill、Theaf等標示為紅色,其他如worldcup、bad、fifa等則標為黃色。

沒買到入場票的球迷通常會到賽館現場找找看有沒有黃牛票可買,一則推文表示可提供購票的管道,實際點入後連結到Instagram,再連到非官方的售票網頁;另一例子則是在推文中散佈賭博的訊息,要求使用者點入連結到一個陌生的網站,這個網站可能因為限制造訪者的IP位置,因此無法進入。

「SNS雖然是很好的社交平臺,同時也是駭客散佈攻擊很好的平臺」,她以販售假球衣的訊息為例,球迷進入陌生網站,最遭的可能不是買到假商品,球迷還可能被騙取信用卡資料,蒙受財產上的損失。

趨勢科技也發現疑似從FIFA內部外洩的文件,內容和FIFA官方網站開發有關,被上傳到Virus Total,趨勢科技推測可能是人員失誤,不小心將內部文件流出。

駭客以世足賽免費視訊、預測賽事文件為名散佈惡意程式

在世足賽的研究期間,趨勢發現種種的惡意攻擊手法,其中是一個惡意網站,以知名球星的圖像吸引球迷,宣稱能免費提供觀看球賽的即時串流影像,要求受害者下載一個Android app,實際上這是一個竊取資料的惡意app,安裝後就會開始要求各種裝置的權限,竊取的資料包含使用者的裝置名稱、位置及IP,還有SMS訊息、文件檔案等等。從app利用Google Drive散佈、程式碼訊息中隱含阿拉伯文資訊,種種手法和在中東地區的APT駭客組織APT-C-23極為相似。

另一個攻擊的手法則是以世足賽的賽事結果預測為名散佈惡意的Word文件,當受害者感興趣而點開文件,會顯示文件受到保護,要求啟動文件,啟動後就會看到駭客隨意截取自媒體報導的比賽預測訊息,但同時這個動作也會開始執行惡意巨集程式碼,並從C&C伺服器下載以JPG為副檔名的檔案。

有趣的是,趨勢科技檢視C&C伺服器,發現Image資料匣內的檔案都存放JPG的檔案(下圖),看起來很合理,打開這些JPG檔案也會看到普通的圖像,實際上這些圖檔掩藏.exe或.dll的可執行檔,一旦執行後便會下載後門程式,竊取受害者的電腦螢幕截圖、側錄鍵盤輸入,或是搜尋特定的檔案,再將竊取的資料上傳到受企業信賴的雲端儲存服務,例如Dropbox。駭客也利用這些受信賴的雲端服務儲存下一階段攻擊的檔案。

趨勢科技解析這份惡意文件,發現先前的文件內容和北韓有關,顯示駭客先前可能曾利用北韓為議題,吸引其他關心這類議題的受害者上當,這代表駭客只要變換題材內容,就能吸引其他目標的注意。從攻擊手法和針對韓語使用者為目標來看,趨勢科技研判和駭客團體Group 123手法相似。

「讓大家為之瘋迷的活動,一定是駭客吸引使用者上當的很好題材,不論是個人或是舉辦賽事等各種大型活動的組織都應該特別小心」,Hsiaoyu Shih表示,個人或組織都應該具備網路安全的知識,對這類吸引人的文件,應該要知道以正確、安全方式處理,她也提醒,即使在活動結束後也要保持警覺,因為駭客的目標可能不是這次的活動,另外,企業也應該要有充足的準備因應攻擊,才能將傷害降到最低。


Advertisement

更多 iThome相關內容