在資安新聞或報告中,可能常常看到某些攻擊事件是由特定駭客組織所為,然而,對於這些駭客組織本身的了解,可能多半不夠深刻,是否有更平易近人的方式,增進大眾對一些駭客組織的認識呢?

事實上,網路攻擊日益複雜,這些有組織的駭客團體,花了很多心力瞭解可能是攻擊目標的你我,但是,相對地,整個公眾對這些駭客組織有概括性的了解嗎?長期進行駭客追蹤研究的TeamT5杜浦數位安全,在本月舉行的2021臺灣資安大會展區上,特別用上類似藝術展覽的形式,讓參觀的人能從不一樣的視角,認識幾個不可不知的APT攻擊團體,掌握其特性。

在這樣的展區中,TeamT5打造出有如現代藝術博物館(MOMA)的布置場景,擺放著4件作品,將原本抽象的攻擊族群,具現為某種裝置藝術品來展示,同時,一旁的牆面上,也有著對於APT族群一詞的中英文介紹,說明每個APT族群都有自己的地域性與慣用的攻擊手法,以及經常鎖定的國家與產業。

在現場擺設的這些創作中,連結的APT攻擊族群共有4個,包括:Lazarus、HUAPI、AMOEBA與Nian。目的就是希望將這些壞人(駭客組織)的特徵實體化,讓企業用戶能夠知道,他們到底是面對什麼樣的敵人,這些壞人有什麼樣的特徵或能力。

駭客組織:Lazarus

也被稱為APT38、HiddenCobra

舉例來說,代表Lazarus駭客組織的作品,呈現了多個保險箱被打開,鈔票散落在外的場景,同時還有一塊虎紋毛毯批在保險箱上。

對於這個Lazarus駭客組織,應該很多人都有印象,因為它就是2017年臺灣遠東商銀SWIFT系統入侵盜轉攻擊事件的幕後黑手,是北韓的駭客組織,又名APT38,或是HiddenCobra。

Lazarus駭客組織有何特性?根據現場一旁導覽小卡的介紹,他們的攻擊目標遍布全世界,受害產業以金融、媒體、航空為主。最受關注的是,Lazarus具有多次攻擊金融產業的記錄,尤其是針對SWIFT跨國轉帳交易系統,以及ATM自動櫃員機系統進行攻擊。

他們的攻擊不只是針對金融產業,還包括與具有關鍵技術的私人企業,推測是為了替北韓政權措資金,好發展武器與實驗。而且,在他們過往的攻擊行動中,會在惡意程式內參雜俄文,企圖混淆分析人員。

對於此作品的意象,TeamT5提出說明,讓我們對Lazarus有更深刻的印象。他們表示,此作品以保險箱來象徵各大銀行的概念,如同北方猛虎化身的虎皮肆無忌憚的入侵了各大銀行,而保險箱與各國貨幣也傳達了Lazarus鎖定全世界攻擊,並且還有加密貨幣符號,意指他們的目標也包含虛擬貨幣交易所。此外,由於Lazarus為北韓的駭客組織,因此他們保險箱使用了藍紅藍配色,這其實也與北韓國旗有呼應。

另外,值得注意的是,在TeamT5於今年5月揭露的2020年臺灣APT網路攻擊態勢的報告中,也提到上述駭客組織的相關活動。

例如,2020年他們曾在臺灣發現Lazarus使用的Linux後門工具,雖然當時沒有進一步的資訊,可以確認受害者身分,但他們也提醒,偵測到此樣本,可能是該組織在臺灣又有活動跡象的警訊。

駭客組織:AMOEBA

也被稱為Winnti、APT41、BARIUM

另一個作品是象徵AMOEBA駭客組織,主體以黑色為意象,透明箱子裝著許多黑色盒子與黑色吊牌。

乍看之下,AMOEBA這個名號似乎讓人感到有點陌生,事實上,他們還有一個廣為人知的名稱是「Winnti」,而此一命名與他們知名的後門程式有關,另也被稱作APT 41、BARIUM。

值得我們關注的是,AMOEBA是經常鎖定臺灣的中國駭客族群。例如:2019年華碩遭遇的ShadowHammer Operation供應鏈攻擊,以及2020年臺灣能源業者遭入侵加密攻擊,這兩起事件都是AMOEBA所為。

在作品展示小卡的簡介中,說明HUAPI主要攻擊國家臺灣、日本、美國與南韓,在攻擊鎖定的產業方面,包括博弈產業,還有化學、航太、能源、媒體與電信等。同時,提及AMOEBA具備精準的供應鏈攻擊能量,是與其他駭客最大的不同之處。根據TeamT5說明,此駭客組織擁有非常龐大的惡意程式火藥庫,因此他們會挑選合適的武器進行攻擊,這也導致,每一起資安事件的輪廓都會有所差異。

關於取名AMOEBA(阿米巴)的原因,TeamT5解釋,在他們的長期追查過程中,他們發現該組織的攻擊對象開始有了明確的分野,早期他們常會攻擊遊戲博弈業者、電信與高科技產業,但這幾年來,像是他們開始轉向攻擊學術研究,還有加密攻擊,像是上述國內2020年發生的事件,TeamT5認為,這些被攻擊對象的改變,與根本的動機有關。另一方面,關於此駭客集團的背景,之前在美國司法部有一份起訴書提到APT41與中國的成都肆零肆有極大關聯,依據起訴書的內容,他們早期確實以遊戲與高科技產業作為標的,直到2018~2019年才開始慢慢轉換目標。

至於此作品所代表的含意,TeamT5解釋,阿米巴本身是一種不太具有形體的生物,所以用試管將其保存起來,就像是抓到了阿米巴並好好觀察與研究一番。而垂墜下來黑色牌子上的程式碼,則代表用以辨識出阿米巴的重要元素。

幫助外界了解駭客組織,將抽象的APT攻擊族群化為一個個作品,並透過導覽與桌上小卡來增進大家對於這幾個駭客組織的背景與特性。

駭客組織:HUAPI

也被稱為PLEAD、BlackTech與黑风梨

另一個命名為畫皮的作品,是以駭客組織HUAPI所描繪的具象,作品以一張白色面具為主體,面具上並有著豔麗的裝扮。根據TeamT5的說明,畫皮一詞來自聊齋誌異,內容描述女鬼以披在身上的人皮,偽裝成絕世美女,比喻掩蓋猙獰面目或醜陋本質的美麗外表。

在經常鎖定的國家與產業上,HUAPI與AMOEBA同樣是針對日本、臺灣、南韓與美國,但目標產業有明顯差異,尤其是他們會特別針對政府、軍方、高科技攻擊,相當值得注意,此外還有電信與研究單位。

不過,臺灣對於HUAPI應要有更清楚的認知,因為,近十年來,這個中國駭客集團不斷針對臺灣發動入侵攻擊行動。

HUAPI有哪些特性與危害?在作品展示簡介中,說明了該組織也被稱為PLEAD、BlackTech與黑风梨,其中Plead是他們常使用的惡意程式。他們的厲害之處,在於擅長利用各式的軟體加殼技術,用以隱蔽惡意程式,並藉此躲避防毒軟體的偵測

除了長期使用各式加殼技術,之所以取名畫皮,根據TeamT5說明,善於隱匿就是HUAPI的一大特性,他們的中繼站也會常使用VPS等合法IP位址來躲避追查,甚至,他們也有GDrive RAT這類的惡意程式,會將受害者電腦中的所有文件資料,上傳到攻擊者的Google Drive,也就是將各種攻擊手法,隱藏在合法流程之中。

關於HUAPI近年重大攻擊事件中,以臺灣受害企業而言,2019年華碩網路硬碟服務WebStorage遭中間人攻擊散布後門程式,就是一例。最近幾年,他們也開始攻擊與臺灣鄰近或關係相對友好的國家,像是2020年三菱電機發生200MB機密資料遭竊事件,也是他們所為。

駭客組織:Nian

也被稱為Tick Group、Bronze Butler、RedBald Knight

TeamT5在臺灣資安大會現場,也展示一件以中國傳統故事中的年獸為主題的作品,代表的駭客集團是Nian,這是因為Nian是經常利用新年賀卡,進行魚叉式社交攻擊的中國駭客組織。而他們也被稱為Tick Group、Bronze Butler或RedBald Knight。

就整體特性而言,Nian與上述3個這個駭客組織不同。以攻擊鎖定的國家與產業來看,Nian主要針對日本與韓國的航太、重工業與電信產業,而軍方與國防也是他們有興趣的目標。

而在慣用的攻擊手法上,Nian具備了優於其他駭客組織的社交工程能力,資安研究員時常會發現,在他們發定的攻擊當中,出現了變種的後門,這也顯示他們會持續將現有武器提升進化。

綜合來看,全球已經發現與完成識別的駭客組織並不少,甚至其中有很多都屬於國家級駭客組織。若以近年當紅的MITRE ATT&CK攻防知識庫來看,已歸納出122個駭客組織(至2021年5月)。而在此次資安大會中,TeamT5雖只展示介紹了4個攻擊族群,但這種呈現方式相當新穎,畢竟人是視覺動物,可用較不同與輕鬆的角度來引發興趣,讓一般人與對駭客組織不瞭解的人,至少對某些將臺灣視為目標的APT攻擊族群,能有多些瞭解與認識。

長期進行駭客追蹤研究的TeamT5杜浦數位安全,在本月舉行的臺灣資安大會的展場上,特別布置了類似現代藝術博物館(MOMA)的場景,並將攻擊族群用具體形式呈現,並藉由這樣的展覽,增進外界對一些APT族群,能瞭解其經常鎖定的國家、產業與其特性。


熱門新聞

Advertisement