瞄準IT代管商 雲端跳躍手法解析
美國司法部星期四(12月20日)起訴了兩名中國公民朱華(Zhu Hua)及張士龍(Zhang Shilong),他們是中共駭客組織APT10的成員。
司法部的起訴書詳細介紹了APT10操作「雲端跳躍」的手法,先入侵12個國家的IT代管服務商(MSP)和雲端服務商,然後以此為跳板,進一步竊取這些服務商的客戶——45家美國公司或政府機構的機密資訊。
根據起訴書,APT10至少未獲授權侵入約90台電腦,並對至少45家美國科技公司或政府機構進行技術盜竊或竊取敏感資訊。
第一步、利用魚叉式網路釣魚(spear phishing)植入惡意軟體到目標電腦。
通常是發送帶附件的郵件給既定目標,一旦點開郵件就中招。為了誘騙收信人打開郵件附件,中共駭客將郵件偽裝成從正常的電子郵件地址發送,同時將郵件正文和附件文件名偽裝成正常內容。
例如:中共駭客發送一封釣魚郵件,且假冒一家通訊公司(受害公司1)的電子郵件地址,但實際上該郵件的發送地址係中國天津APT10組織下的IP地址。
這封郵件寄給一家直升機製造公司(受害公司2),主題為「C17 天線問題」,附件名為「12-204側面著陸測試」,正文為「請查看附件」。
這種偽裝讓受害公司放鬆電腦或被植入惡意軟體的戒心,中共駭客組織通常使用的惡意軟體包括,特洛伊木馬(RAT 11)變體和Poison Ivy等允許遠端存取服務的木馬軟體,同時還有按鍵紀錄器、用以竊取用戶名和密碼等。這些惡意軟體自動與APT10組織控制的電腦IP地址的域名通信。
第二步、頻繁掩蓋和快速更改惡意域名。
起訴書提到,APT10 組織特別使用動態域名系統(DNS)服務商來託管惡意域名,包括使用一家位於紐約南區的提供商的服務,該提供商允許APT10將惡意軟體中預先編輯的惡意域名分派到他們控制的不同IP地址電腦上。
這種操作模式使APT10能夠頻繁、快速地更改與其惡意域名相關的IP地址,而無需調整受害者電腦上已有的惡意軟體或域名。這為APT10提供操作靈活性和持久性,並幫助他們繞過網路檢測——過濾已識別的惡意IP地址。
根據起訴書,APT10註冊了約1,300個用於竊取IT代管服務供應商活動的惡意域名,其中一些是2010年前後開立的帳戶。
第三步、在成功安裝惡意軟體之後,APT10向受感染的電腦系統指示,下載更多的惡意軟體和工具,以進一步侵蝕受害者的電腦。
第四步、在APT10組織成員識別出受害者電腦上有感興趣的數據後,他們從受感染的電腦上收集文件和資訊,並將偷來的文件和資訊加密後、發給他們控制的電腦。
第五步、一旦APT10從IT代管服務供應商的電腦竊取到管理憑證,它就會使用這些憑證啟動與被託管服務客戶之間的遠端桌面協議(RDP)連接。
這種操作模式使APT10能夠入侵代管服務商及其客戶網路的內部互聯網路,並危及代管服務商及其客戶的那些未安裝惡意軟體的電腦。
第六步、APT10 通常會進行刪除動作,以避免被檢測或識別到文件被盜。而且,每次在美國政府或某些安全公司發布公開報告,揭露APT10在進行惡意軟體或域名操作後,APT10就快速修改或放棄了此類駭客攻擊,而轉入其他更隱蔽的形式繼續進行活動。
起訴書指,APT10入侵的代管服務商至少為12個國家的不同公司服務,受害者包括:一家全球金融機構、三家電信和或消費電子公司、三家商業或工業製造公司、兩家諮詢公司、一家醫療保健公司、一家生物技術公司、一家採礦公司、一家汽車供應商公司以及一家鑽井公司。
此外,APT10還竊取了40多台美國軍方電腦,並竊取10萬個海軍人員的個人敏感數據,包括姓名、社會安全號碼、出生日期、工資資訊、個人電話號碼以及電子郵件地址。
APT10疑在天津國安局
根據起訴書,APT10位於中國境內,在天津和其他地區進行活動,同時是在中國白天的工作時間、辦公室環境下活動。
這些年來外界一直在曝光中共的駭客組織,除了之前的APT3外,APT10的攻擊活動也被頻繁曝光。7月底,一個自稱「入侵真相」(Intrusion Truth)的神祕組織根據優步收據和其他資訊揭露,一名 APT10成員上車的起點是天津市河西區珠江道85號,這正是天津市國家安全局的總部大樓所在地址。
「入侵真相」曝光的APT10 3名駭客姓名,其中之一就是司法部這次提告的張士龍。◇