戰火燃向拉美,國內首揭“情報刺客”APT-C-43攪動委內瑞拉軍情內政

國際安全智庫發表於2020-09-29
【導讀】現代戰爭是資訊戰與情報戰的較量,誰能斬獲有利情報搶佔先機,誰就能夠在實戰中拔得頭籌。因此,軍事領域中情報顯得尤為重要。近日,360安全大腦國內首家披露具有西班牙語背景APT駭客組織—APT-C-43,並指出該組織正在為反動派組織提供情報支撐。360安全大腦將其命名為HpReact攻擊行動。當網路鍵盤上的較量與軍事實戰相結合,當委內瑞拉朝野兩派進退維谷時,這場披著“權利爭奪”外衣的網路軍事情報戰分外精彩……


朝野兩派“騎虎難下”
委內瑞拉內戰引軍事情報戰禍源


時間追溯到2019年1月23日,委內瑞拉總統尼古拉斯·馬杜羅宣佈,委內瑞拉將切斷與美國政府外交與政治關係,並要求美國72小時撤離委內瑞拉。然而此刻,委方反對派則表示,不再承認馬杜羅的總統身份,反對派領袖胡安·瓜伊多自行宣佈就任“臨時總統”,該決定得到了美國、歐盟等國家組織的認可。


一面是合法總統馬杜羅,另一面是反對勢力“頭目”瓜伊多。兩派力量尖峰對決,讓雙重權力中心分獲成不同陣營,因力量重組及勢力範圍爭奪,而引發的動盪與不安四處瀰漫。朝野兩派“騎虎難下”,委內瑞拉的政治內亂也就此拉開。


戰火燃向拉美,國內首揭“情報刺客”APT-C-43攪動委內瑞拉軍情內政

隨後,以瓜伊多為首的反動派政府和叛逃兵前往哥倫比亞尋求軍事援助,委內瑞拉的內部戰場迅速轉移至國際範疇。而正是這一次“戰場”的轉變,為後續360安全大腦發現APT-C-43駭客組織,鎖定HpReact攻擊行動埋下伏筆。


360安全大腦國內首家披露APT-C-43
關聯鎖定HpReact行動


近日,360安全大腦於國內首家追溯披露APT-C-43駭客組織,並揭秘其行動極有可能是:為幫助胡安·瓜伊多領導的反動派竊取委內瑞拉軍方的軍事機密並提供情報支援而展開。因此,360安全大腦也將這一系列攻擊行動命名為HpReact(譯為:幫助反動派政府)。而且截至目前,這些威脅活動仍然非常活躍。

為進一步跟進此次APT事件,我們需要搞清楚以下幾點問題:


【1】

如何發現APT-C-43組織?


當我們談及大國在第五維度網路空間博弈的時候,大多提及的是美、俄、以色列等,而關於拉丁美洲國家的網路威脅和具有政治動機的駭客組織方面往往被人忽視。

然而,去年委內瑞拉的政局變動,將安全研究人員的視野拉向了這個地區的網路間諜活動。

經過持續性跟進,2020年6月,360安全大腦透過無檔案攻擊防護功能發現了一款Python語言編寫的新型後門病毒Pyark,再透過對該後門的深入挖掘和溯源分析,發現一系列從2019年起至今,一直活躍的高階威脅行動。

其中,攻擊者透過入侵委內瑞拉的多處軍事機構,部署後門病毒,不間斷的監控和竊取最新的軍事機密。根據360對APT組織的命名方式,將其命名為APT-C-43。

【2】

APT-C-43組織此次行動有何特色?


開篇我們提到,APT-C-43這一次的攻擊行動極具軍事情報色彩,還被冠以“HpReact攻擊行動”之名。那如何鎖定並判定HpReact活動為反動派提供情報支撐?我們分析研討了以下三點:


其一,HpReact活動與委內瑞拉政亂高度吻合


經360安全大腦舉證,2019年上半年委內瑞拉內亂爆發,同時APT-C-43組織的攻擊活動自同年3月底至5月左右展開。可見,這場HpReact攻擊活動的持續時間與委內瑞拉政亂的時間高度重合。此外,攻擊者使用的網路資產多部署在哥倫比亞境內,且有部分資產頻繁在委內瑞拉跟哥倫比亞兩國之間遊走。而委內瑞拉政變之後,以胡安·瓜伊多為首的反動派政府正式逃往到哥倫比亞。不管從時間還是地域上,APT-C-43組織展開的行動極有可能是幫助反動派竊取委內瑞拉軍方的軍事機密,在朝野對抗中為反動派提供情報支援。

其二,採用了與軍情高度相關的誘餌文件


透過對APT-C-43所使用的誘餌文件分析,我們發現文件內容為:委內瑞拉當局為遏制逃兵前往哥倫比亞支援反動派政府而釋出的一份由民兵代替逃兵空缺的政策。由此可見,攻擊者對於委內瑞拉當前政治、軍事等情報資訊非常瞭解,並且善於使用此類敏感檔案製作成誘餌文件,具有極強的針對性和誘導性。

戰火燃向拉美,國內首揭“情報刺客”APT-C-43攪動委內瑞拉軍情內政
APT-C-43在本次行動中使用的誘餌文件

其三,APT-C-43組織與Machete組織關聯


在溯源過程中,研究員發現此次行動與APT組織Machete有所關聯。而關於Machete,最早可追溯到2010年,該組織是一個具有西班牙語根源的APT組織,其攻擊目標以拉丁美洲各國軍事、使館和政府機構為主。多年來,一直以收集目標國家情報並改進他們的攻擊策略為目標。尤其是在2019年,外媒報導顯示,有超過50臺計算機被Machete攻擊。約75%屬於拉美各國的軍事力量,其中一半以上屬於委內瑞拉軍隊。與此同時,以GB為單位的機密檔案和私人資訊已被洩露到攻擊者控制的伺服器上。值得注意的是,處於發展期的Machete組織,主要的後門也是基於Python編寫的。而HpReact行動正是與Machete組織的情報竊取的行徑相吻合。可以說,此次行動或為Machete組織在拉丁美洲從事網路戰的冰山一角。

【3】
APT-C-43具體如何展開攻擊?

從細節方面看,APT-C-43組織擅長使用釣魚郵件發起攻擊,並在入侵受害者機器後部署由python語言編寫的的後門程式Pyark(Machete),網路通訊主要依靠FTP和HTTP協議,成功滲透目標機器之後監視目標使用者,竊取敏感資料等。感染目標機器的完整流程如下:戰火燃向拉美,國內首揭“情報刺客”APT-C-43攪動委內瑞拉軍情內政

由於此項攻擊具有一定的隱蔽性,這為監視竊密活動提供了極大的便利。而在後門模組上,UpdateSession是其後門的主控模組,功能包含:後門自啟動、收集網路配置、擊鍵記錄等,並以定時器的方式排程其他模組執行。與此同時,UpdateService遍歷磁碟目錄,除部分系統目錄與安全軟體目錄之外,收集其它目錄下以doc、xlsx、pdf等十餘種字尾的敏感檔案;UpdateDevice則負責獲取螢幕截圖;UpdatePlugin從麥克風錄取音訊;而Notification則負責將上述模組收集到的敏感資料上傳到FTP伺服器。

此外,在分析上傳的FTP伺服器時我們發現,APT-C-43透過Tiny File Manager管理上傳的敏感檔案。綜上,伴隨著反對派勢力的“戰略”轉移,委內瑞拉朝野兩派戰場也隨之拉開,此時此刻資訊戰與情報戰的較量愈發凸顯。APT-C-43以委內瑞拉軍方的各機構為主要攻擊目標所展開的HpReact活動,對委內瑞拉的國家安全形成了極大安全隱患。而且研究顯示,截止目前,這些威脅活動仍然非常活躍。  

智 庫 時 評  


數字化時代已至,在強烈依賴資訊網路的情況下,軍事情報資源遭受到前所未有的安全挑戰。

基於網路與資訊時代的軍事資訊保安問題,應以成熟的網路安全防禦體系來加以規避,並有效預防可能存在的網路環境資訊洩露、資訊失真、資訊完整性破壞等安全問題。同時,提升軍事資訊資源的安全性,從而有效降低重要軍事情報資源被外國軍事情報機構竊取的可能性。在國際網路形勢日益焦灼的當下,網空安全成為每個國家維護國家安全的又一重要領域,網路安全任何部署與建設都不容忽視,時刻備戰、防患於未然,才能護航全域網空之安全。

相關文章