研究人员表示,中国情报机构是长达十年的对软件公司网络攻击的幕后发起者。现在他们正在使用先进的恶意软件渗透到美国、欧洲、俄罗斯和其他地方的软件和游戏公司。
3 月份,骇客利用钓鱼电子邮件企图访问企业敏感的 Office365 和 Gmail 帐户。其间由于他们犯了严重的操作安全错误,暴露了他们的目标和可能位置的关键信息。
在以前许多情况下,研究人员认为这些团体是独立的无关联的。根据周四发表的一份49页的报告指出,所有这些袭击事件都是中国政府情报机构所为,报告的作者将其称为 Winnti Umbrella。
安全公司 ProtectWise 的威胁研究和分析团队 401TRG 基于对攻击中使用的常见网络基础设施、战术、技术和程序的归因以及操作安全性错误,揭示了单个成员的可能性位置。
与 Winnti Umbrella 相关的攻击至少从2009年开始活跃起来的,甚至可能从2007年就开始了。2013年,反病毒公司卡巴斯基实验室报告说,使用中文和韩文配置的计算机骇客在过去四年中使用名为 Winnti 的后门感染了30多家在线视频游戏公司。攻击者利用他们未经授权的访问来获取数字证书,该证书被用于签署针对其他行业和政治活动家的攻击活动中使用的恶意软件。
同样在 2013 年,安全公司赛门铁克报告称一个名为 Hidden Linx 的骇客组织攻击了 100 多个组织,其中包括 2012 年的高调入侵行为窃取了 Bit9 的加密密钥,并将其用于感染了至少三家安全公司的客户。
在此后的几年中,安全组织 Novetta,Cylance,趋势科技,公民实验室和 ProtectWise 都发布了各种 Winnti Umbrella 活动的报告。其中一项活动涉及 2010 年著名的漏洞袭击了谷歌和其他 34 家公司。
ProtectWise 研究人员写道,“这份报告的目的是要公开以前未报道过的中国国家情报部门之间存在的联系,这些行动和执行这些行动的团体都与 Winnti Umbrella 有关,并在中国国家情报机构的指导下运作”。
这些组织经常使用网络钓鱼手段获得进入目标网络的权限。在之前的攻击中,所属团体随后使用最初的妥协来安装自定义后门程序。最近,这些团体采用了所谓的“living-off-the-land”感染技术,这种技术依赖于目标自己的许可访问系统或系统管理工具来传播和维护未经授权的访问。
攻击者通常依靠 TLS 加密来隐藏恶意软件的传送以及命令和控制流量。近几年来,这些组织依靠 Let's Encrypt 签署 TLS 证书。
攻击者使用了 Google 缩址服务 goo.gl 的短链接,研究人员利用 Google analytics 分析短链接访问情况获得了攻击行动相关的信息。
利用恶意程序或钓鱼窃取凭证后攻击者远程访问目标网络,通常情况下攻击者会利用代理或其它方法模糊位置,但研究人员观察到攻击者多次没有使用代理直接访问了受害者机器。攻击者使用的 IP 段被发现是 221.216.0.0/13,属于北京西城区的联通网络。
ProtectWise 表示,自今年年初以来,Winnti 成员发起的网络钓鱼攻击试图欺骗各个组织的 IT 工作人员为 Office 365 和 G Suite 等云服务上的帐户提供登录凭据。该恶意网络钓鱼链接总共被点击56次:日本29次,美国15次,印度两次,俄罗斯一次。Chrome 浏览器单击链接 33 次,并且 23 次点击来自 Safari 用户, 30 次点击来自 Windows 电脑,26 次来自 macOS 主机。
能够访问目标云服务的攻击者寻求内部网络文档和用于远程访问企业网络的工具。成功的攻击者通常使用自动化进程扫描内部网络以查找开放端口 80, 139, 445, 6379 ,8080 ,2002 和 30304。这些端口对使用以太坊数字货币的Web、文件存储服务和客户端感兴趣。