一封來自“頂級黑客組織”勒索信,澳大利亞被迫重溫RDoS攻擊噩夢

零日情報局發表於2020-02-28

大家好,我是零日情報局

本文首發於公眾號 零日情報局,微信ID:lingriqingbaoju



在過去的一週,澳大利亞的銀行和金融部門一直籠罩在“Silence Hacking Crew(沉默小組)”的攻擊威脅之中。


一封來自“頂級黑客組織”勒索信,澳大利亞被迫重溫RDoS攻擊噩夢


號稱是臭名昭著的“沉默小組”的攻擊者通過傳送電子郵件,要求澳大利亞各組織(尤其是銀行和金融業相關組織)交付門羅幣(XMR)加密貨幣。否則將遭遇DDoS攻擊。


像這類始於一封威脅信,若不交付贖金就發動攻擊(通常以分散式拒絕服務DDoS攻擊的形式出現),這種基於利益勒索的分散式拒絕服務攻擊就是所謂的RDoS(贖金拒絕服務)攻擊。


那麼,今天零日就和大家聊聊這類攻擊的活動情況。


RDoS攻擊的活動軌跡


RDoS攻擊是一種尚算新興的攻擊方式,而冒充世界級黑客組織的名號發動RDoS(贖金拒絕服務)攻擊,我相信大家肯定對此覺得匪夷所思。


然而這類勒索手法,早在2017年就有跡可循,也曾在2019年活躍一時。


2017年,正是此類贖金團伙活躍達到頂峰的一年,這些團伙要麼冒充世界知名的黑客組織,如Anonymous,Armada Collective,New World Hackers和Fancy Bear,要麼模仿頂級黑客組織自己取名,然後向目標傳送勒索信。

一封來自“頂級黑客組織”勒索信,澳大利亞被迫重溫RDoS攻擊噩夢


此時的大部分犯罪團伙都只是“虛張聲勢”,他們並沒有發起DDoS攻擊等大規模攻擊的實力,騙錢全靠名頭,是實打實的“江湖騙子”。


2019年10月,全球銀行、金融業相關的多個組織再次遭遇RDoS攻擊。其中,土耳其電信巨頭TürkTelekom、最大的私人銀行之一Garanti BBVA因網路攻擊中斷了部分服務,南非幾家網際網路服務提供商(ISP)遭遇了持續兩天的DDoS攻擊、系統一度癱瘓。


一封來自“頂級黑客組織”勒索信,澳大利亞被迫重溫RDoS攻擊噩夢


同樣是冒充頂級黑客組織,同樣是威脅受害目標發動RDoS攻擊。不同的是,這次的犯罪團伙擁有了相當的攻擊實力,往往是一邊發動攻擊、一邊發勒索信。


一封來自“頂級黑客組織”勒索信,澳大利亞被迫重溫RDoS攻擊噩夢

對於彼時的攻擊者來說,冒充厲害一點的黑客組織,不過是順利收取贖金的助攻罷了。

而這一次,攻擊者又借了個新身份,瞄準澳大利亞銀行和部分金融機構。很快,澳大利亞網路安全中心(ACSC)就戳破了攻擊者的偽裝。


一封來自“頂級黑客組織”勒索信,澳大利亞被迫重溫RDoS攻擊噩夢


幾乎可以肯定的是,攻擊者並非曾打劫過東歐、南非等地銀行數百萬美元的“沉默小組”。目前看來,澳大利亞銀行只是虛驚一場,並未受到任何DDoS攻擊。



RDos活動的攻擊分析


儘管發起RDoS攻擊的攻擊組織身份未明,且不能確定前後攻擊是同一組織所為,但大家都能注意到,這類RDoS攻擊以金融業為主要目標,且具有一定的殺傷力。


為什麼會對RDoS攻擊如此警惕?大家可千萬別被以往的案例誤導,以為這類攻擊只是以恐嚇手段為主,單看2019年的攻擊情況就知道,隨著技術的發展,攻擊者也具備了癱瘓網路的實力。


下面零日根據2019年Radware的攻擊報告,大致分析了RDoS攻擊具體情況。


攻擊組織首先選定受害目標一個特定的IP地址作為示例攻擊目標,表明攻擊者有能力對目標網路進行最大程度的攻擊。


一封來自“頂級黑客組織”勒索信,澳大利亞被迫重溫RDoS攻擊噩夢

圖:Radware關於2019年RDoS攻擊的報告內容


根據報告內容我們可以瞭解到,這些團伙通常執行著自己的殭屍網路,這種型別的RDoS攻擊會使受害目標遭遇持續15分鐘至幾個小時的網路攻擊,預計會達到40-60Gbps和多個攻擊向量同時出現。


攻擊載體包括SSDP\NTP\DNS\CLDAP\WSD\ARMS\SYN\ICMP等,其中,有一種新型的攻擊載體吸引了大家注意,即使用Web服務動態發現(WSD)協議。


一封來自“頂級黑客組織”勒索信,澳大利亞被迫重溫RDoS攻擊噩夢


這個攻擊載體於2019年初為人所知,但在2019年10月就已經被攻擊組織利用。可見,攻擊組織的實力也在隨著各項技術的發展而進步,可不是當年只會“空手套白狼”之流。



RDoS攻擊者的“計謀”


事到如今,攻擊團伙仍然屢屢打著著名黑客組織的名頭“招搖撞騙”,真的是他們不懂創新、只會用這一招嗎?


在零日看來,絕非這樣簡單。如果說2017年的冒名攻擊,是攻擊組織無法擁有相應的攻擊水平,只好出此下策。那麼之後仍然沿襲老一套,一方面是利用頂級黑客組織的影響加深受害者恐懼,另一方面也有利於掩藏自己的真實身份。


目前為止,人們的確對真實的攻擊者身份知之甚少。甚至以後來說,這樣做更有可能是為了讓受害目標以為攻擊者徒有虛名而放鬆戒備。


虛實真假之下,掩藏著攻擊者對金融業繁榮景象的覬覦之心。


對於很可能再次進入活躍狀態的RDoS攻擊,零日總結了以下幾點建議:

1.   受害目標不要交付贖金,應及時聯絡網路安全公司幫助自身對抗攻擊;

2.   各組織應建立有效的DDoS保護機制,如通過建立實時簽名保護未知威脅與零日攻擊;

3.   利用混合DDoS保護,即內部和雲DDoS保護來預防實時DDoS攻擊;

4.   加強異常行為、流量檢測;

5.   完善網路安全應急響應計劃。



零日反思


RDoS攻擊作為一種新興的攻擊手法,於未來充滿了無限可能。

我們可以預料到,目前破壞力有限、手段尚顯粗糙的攻擊者一定會提升攻擊手段,或者不排除有真正頂級的黑客組織發起RDoS攻擊的可能。這就好比大家耳熟能詳的“狼來了”故事,如果我們此時降低警惕,終有一天將成為網路攻擊之下的待宰羔羊。



零日情報局作品

微信公眾號:lingriqingbaoju

如需轉載,請後臺留言

歡迎分享朋友圈



參考資料:

Radware 《Global RDoS Campaign – Fancy Bear》


一封來自“頂級黑客組織”勒索信,澳大利亞被迫重溫RDoS攻擊噩夢


相關文章