「火眼」揭祕 中共網路間諜機構APT40
美國網路安全公司火眼(FireEye)近期公布了一份調查資料,顯示一個被命名為APT40的中共網路間諜組織正受到火眼的關注,其自2013年開始的網路攻擊行為也因此遭到曝光。
火眼公司多名專家發布聯合調查文章〈ATP40:審查中共網路間諜駭客〉,文章指出,火眼公司正在關注一項針對關鍵技術和傳統情報目標進行的網路間諜行動,該行動得到中共的支持,由代號被稱為「APT40」的網路駭客組織執行。
調查指出,該駭客組織至少在2013年就已經開始進行活動,當時的目標是支持中共海軍現代化建設。該駭客組織專門針對工程、運輸和國防工業領域,特別是在這些領域與海事技術重疊的專業技術領域。
最近,火眼公司還觀察到參與「一帶一路」的國家也受到了該駭客組織的攻擊。總的來說,柬埔寨、比利時、德國、香港、菲律賓、馬來西亞、挪威、沙烏地阿拉伯、瑞士、美國和英國等國家都成為APT40的目標。
這個中共網路駭客組織先前被報導為TEMP.Periscope和TEMP.Jumper。
駭客宗旨:配合中共全球野心
2016年12月,中共軍隊(PLAN)在南海海域搜捕了一架美國海軍無人水下航行器(UUV)。火眼公司調查到,在此後的1年之內,駭客組織APT40偽裝成UUV製造商開展了眾多網路攻擊活動,目標瞄準了從事海軍研究的大學,目的是為了獲得支持中共海軍發展的先進技術。火眼公司的專家們相信,APT40對海事問題和海軍技術的重視,最終是為了支持中共建立「藍水海軍」(a
blue-water navy)的野心。
除了海洋是重點外,APT40還針對傳統情報目標覆蓋了更為廣泛的區域性目標,特別針對在東南亞開展業務或涉及南中國海爭端的組織機構。最近,這樣目標包括與東南亞選舉有關的受害者,這可能是受到了中共「一帶一路」活動的影響。
火眼公司認為,中共的「一帶一路」(BRI)是一項耗資1兆美元的計畫,旨在建立連接亞洲、歐洲、中東和非洲的陸路和海上貿易路線,以擴大中共將來在這個大區域內的影響力。
APT40帶中共基因 並非他國駭客
火眼公司專家認為,有合理的理由可以認為APT40是由中共支持的中國網路間諜駭客組織,因為他們的行動目標與中共利益一致,並有多項技術痕跡表明該組織的基地在中國。
從APT40的運作時間分析得知,該組織的活動時間可能以中國北京時間(UTC +8)為準。此外,APT40「命令和控制」(Command and Control,C2)的多個網路區域最初由中國域名經銷商註冊,並擁有帶有中國位置資訊的紀錄,這表明該基礎設施採購流程以中國為基地。
調查還顯示,APT40還使用了位於中國的多個網際協定(IP)地址進行運作。在一個實例中,從開放索引服務器恢復的日誌文件顯示,位於中國海南的IP地址(112.66.188.28)已被用於管理與受害計算機上的惡意軟體通信的命令和控制中心。所有登錄到此C2的計算機都配置了中文語言設置。
APT40攻擊流程
一、初步入侵
火眼公司已經觀察到APT40利用各種技術進行初步入侵,包括網路服務器開發;進行公共可用和定製後門的網路釣魚活動;以及戰略性網路入侵。
• APT40大量依賴網頁後門(web shells)。根據所處位置,網頁後門可以持續訪問受害者的系統,重新感染受害者系統,並促進橫向移動。
• 該行動的魚叉式網路釣魚電子郵件通常利用惡意附件,但火眼公司也觀察到有時會使用Google Drive鏈接。
• APT40在其網路釣魚操作中利用漏洞攻擊,經常在漏洞發布後的幾天內將漏洞武器化。火眼公司觀察到的漏洞包括:
o CVE-2012-0158
o CVE-2017-0199
o CVE-2017-8759
o CVE-2017-11882
二、建立立足點
APT40使用各種惡意軟體和工具來建立立足點,其中許多是公開可用的,或其他駭客組織使用的惡意軟體。在某些情況下,該組織也曾使用過具有代碼簽名證書的可執行文件來避免遭到檢測。
• 在下載其他有效負載之前,使用AIRBREAK、FRESHAIR和BEACON等首道後門。
• PHOTO、BADFLICK和CHINA CHOPPER是APT40最常使用的後門之一。
• APT40通常會瞄準VPN和遠程桌面憑據,以便在目標環境中建立立足點。這種方法被證明是理想的,因為一旦獲得這些憑證,他們可能不需要高度依賴惡意軟體來繼續執行任務。
三、升級特權
APT40混合使用自定義和公開可用的憑據收集工具,以升級權限和輸出密碼哈希值。
• APT40利用自定義憑證竊取工具,例如HOMEFRY,一種與AIRBREAK和BADFLICK後門一起使用的密碼破解器。
• 此外,Windows Sysinternals ProcDump實用程序和Windows憑據編輯器(WCE)也被認為是在入侵期間使用的程序。
四、內部偵察
APT40使用受損的憑據來登錄其他連接系統,並進行偵察。該組織還利用受害者環境中的RDP、SSH、合法軟體、一系列本機Windows功能、公開可用工具,以及自定義腳本來促進內部偵察。
• APT40在受害組織內部使用MURKYSHELL來進行端口掃描IP地址,並進行網路計數。
• APT40經常使用本機Windows命令(如net.exe)對受害者環境進行內部偵察。
• 幾乎在攻擊的所有階段都嚴重依賴網頁後門。內部網路服務器與面向公眾的設備相比,通常沒有配置相同的安全控制,這使得它們更容易被APT40和類似具有豐富經驗的駭客組織利用。
五、橫向移動
APT40在整個環境中使用許多橫向移動方法,包括自定義腳本、網頁後門,以及遠程桌面協議(RDP)。對於每個被入侵的新系統,該組織通常會執行惡意軟體,執行額外的偵察並竊取數據。
• APT40還使用本機Windows實用程序,如at.exe(任務計畫程序)和net.exe(網路資源管理工具)進行橫向移動。
• 公共可用的隧道工具與獨特的惡意軟體並用成為行動的特徵。
• 雖然MURKYTOP主要是一種命令行偵察工具,但它也可以用於橫向移動。
• APT40還使用公共可用的工具和名為DISHCLOTH的自定義實用程序來攻擊不同的協議和服務。
六、維持存在
APT40主要使用後門,包括網頁後門來保留在受害者環境中的存在。這些工具可以持續控制目標網路中的關鍵系統。
• APT40最喜歡使用的是用網頁後門來保持其存在,尤其是公開可用的工具。
• 在建立立足點階段期間使用的工具也繼續用於維持存在階段,這些工具包括AIRBREAK和PHOTO。
• 一些APT40惡意軟體工具可以通過利用GitHub、Google和Pastebin等合法網站進行初始C2通信來逃避典型的網路檢測。
• 利用通用TCP端口80和443來混入常規網路流量。
七、完成使命
完成任務通常涉及從目標網路收集並傳輸信息,這可能涉及在到達目的地之前,通過多個系統移動文件。火眼公司已觀察到APT40合併從受害者網路獲取的文件,並使用歸檔工具rar.exe在退出之前壓縮並加密數據。火眼還觀察到APT40會開發如PAPERPUSH工具,以幫助他們高效定位數據並盜竊。
APT40依然在進行攻擊
火眼公司調查顯示,儘管公眾越來越關注,但中共駭客組織APT40繼續按照常規節奏進行網路間諜活動。火眼公司的專家們預計,該駭客組織的運作將至少在近期和未來一段時間持續。
根據APT40在2017年擴大到與海外選舉相關的目標來看,火眼公司預測,受中共「一帶一路」計畫的推動,該中共駭客組織的未來目標將影響海洋以外的其他行業。特別是隨著個別「一帶一路」計畫的展開,人們可能會看到APT40將繼續活動,並延伸到「一帶一路」計畫沿線的對手機構內部。