【快訊】近日,外媒爆出“透明部落”APT組織正透過感染USB裝置,瞄準世界各地的政府和軍隊發起新一輪攻擊活動。高階持續性威脅APT組織的網路軍火,戰備資源不斷升級,網空界或將又迎來一場“血雨腥風”。而這個幾乎沉積四年之久的組織,在今年卻頻繁的高調“迴歸”,其背後又隱藏著哪些秘密?今天,智庫就與大家探一探究竟。
“透明部落”(Transparent Tribe):一個具有巴基斯坦政府背景的APT組織,其長期針對周邊國家和地區的軍隊和政府機構實施定向攻擊,目的是收集有關政治問題的情報。從2013年開始一直活躍至今,並一直與印巴兩國局勢存在高度性關聯。
“透明部落”再度來襲
新武器USB攻擊“嶄露頭角”
今年2月,外媒爆出隱匿四年的“透明部落”瞄準印度軍方展開系列間諜活動,時隔不到半年,近日外媒再次爆出,“透明部落”瞄準全球的政府和軍隊發起新一輪網路間諜活動。
不過,值得注意的是,與上一次採取的惡意宏檔案攻擊不同,此次迴歸,它攜帶了一種新型工具——USB攻擊,作為APT組織的新武器,這次攻擊尤為令人關注。
以往的“透明部落”攻擊,是這樣的:
透過嵌入惡意宏檔案執行,最終可獲取受害機器上正在執行的程式列表,並根據攻擊指令進行下一步動作。
採取管理遠端檔案系統、捕捉螢幕截圖、鍵盤記錄、使用內建麥克風進行音訊監控、從網路攝像頭記錄影片流、竊取密碼和竊取檔案等方式達到攻擊效果。
而在最新的“透明部落”攻擊中,它是這樣的:
今天,透明部落對其“獨門戰術”惡意宏進行了“升維”更新。其增加一個用於管理受感染客戶端機器的伺服器端元件,以及一個新的USBWorm元件,該元件可以從可移動驅動器中竊取檔案,並透過感染可移動介質在系統間移動。
簡而言之,新型USB攻擊不僅可以透過隨身碟竊取重要資訊,還可以透過序列匯流排裝置感染到其他系統中任意一臺裝置。
與此同時,該新型USB攻擊的隱秘性極強,往往不易被人發現,或將成為APT界的新型“隱藏殺手”。
具體而言,如果一個隨身碟連線到一臺被感染的計算機,木馬的副本會被悄悄地安裝在可移動驅動器上。惡意軟體會列出驅動器上的所有目錄,然後將特洛伊木馬的副本隱藏在根驅動器目錄中。
最終,將目錄屬性改為“隱藏”,當受害者試圖訪問目錄時,它會使用偽造的Windows直接圖示來誘使受害者單擊並執行有效負載。
網路戰與實戰明暗交織
APT攻擊已成大國實戰御用武器
正所謂“挽弓當挽強,用箭當用長。”高手過招若無過硬之武器,何以獨佔鰲頭?反觀網路世界之對抗亦是如此。
而更為有意思的是,這個幾乎沉積四年之久的APT組織,每一次“迴歸”似乎都與大國博弈的時局有著千絲萬縷的關係。
- 2016年2月,“透明部落”首次被ProofPoint的研究人員發現,向印度駐沙烏地阿拉伯和哈薩克使館的外交官和軍事人員發起攻擊;
- 時隔四年之後,2020年2月,“透明部落”針對印度所有參與DSOP FUND(國防服務官員公積金)的軍方人員展開了系列間諜活動;
- 緊接著在今年3月,“透明部落”又針對印度、阿富汗等國家和克什米爾地區展開網路攻擊;
- 據外媒報導,截止目前,研究人員已調查發現,“透明部落”已經在27個國家“瞄準”1093個目標,其中受影響最大的是阿富汗、德國、印度、伊朗和巴基斯坦等國家。尤其在近期,該組織又將重點轉移到阿富汗。
如果,單純看網路攻擊,似乎沒有什麼奇怪點。但對照上述網路戰攻擊的時間線,我們發現網空戰場之外,實則夾雜著的正是一場場實戰的較量。
- 2016年2月,印度與巴基斯坦爆發了兩國停火以來的最大沖突,印軍對巴基斯坦境內實施堪稱“外科手術式”的軍事打擊;
- 今年年初,印度數次向巴基斯坦發起突然襲擊,甚至拋停火協議於不顧,摧毀巴基斯坦修建的一線碉堡工事;
- 時至今年7月,巴基斯坦與阿富汗的衝突更是源源不斷。巴基斯坦炮擊阿富汗邊境,阿富汗方欲動員空軍和特種兵趕往戰場。
當“透明部落”展開攻擊活動的各節點皆與巴基斯坦遭遇實戰衝突的時間基本相吻合時,軍事實戰的升維也必然帶動著網路世界的“炮火強攻”的論斷,就再一次得到驗證。
在大國博弈、實網攻防面前,“透明部落”軍火持續性迭代升級的原因也更加一目瞭然。
智 庫 時 評
當前,大國博弈、國際局勢變化本就莫測。
然而,作為網空博弈的“御用武器”——高階持續性威脅APT組織卻仍在打磨自身武器、不斷進化升級,這讓本就易攻難防、攻防不對稱性急劇加大,守護網空世界、守護整個世界和平安寧的使命更加維艱。
在此環境之下,強化打磨並落地自身網路實網攻防實力顯得越發重要。
因為你的對手,從未曾止步不前。
參考連結:Threatpost——《透明部落對軍隊、政府發起持續的間諜活動》