朝野兩派“騎虎難下”
委內瑞拉內戰引軍事情報戰禍源

時間追溯到2019年1月23日，委內瑞拉總統尼古拉斯·馬杜羅宣佈，委內瑞拉將切斷與美國政府外交與政治關係，並要求美國72小時撤離委內瑞拉。然而此刻，委方反對派則表示，不再承認馬杜羅的總統身份，反對派領袖胡安·瓜伊多自行宣佈就任“臨時總統”，該決定得到了美國、歐盟等國家組織的認可。

一面是合法總統馬杜羅，另一面是反對勢力“頭目”瓜伊多。兩派力量尖峰對決，讓雙重權力中心分獲成不同陣營，因力量重組及勢力範圍爭奪，而引發的動盪與不安四處瀰漫。朝野兩派“騎虎難下”，委內瑞拉的政治內亂也就此拉開。

隨後，以瓜伊多為首的反動派政府和叛逃兵前往哥倫比亞尋求軍事援助，委內瑞拉的內部戰場迅速轉移至國際範疇。而正是這一次“戰場”的轉變，為後續360安全大腦發現APT-C-43駭客組織，鎖定HpReact攻擊行動埋下伏筆。

360安全大腦國內首家披露APT-C-43
關聯鎖定HpReact行動

近日，360安全大腦於國內首家追溯披露APT-C-43駭客組織，並揭秘其行動極有可能是：為幫助胡安·瓜伊多領導的反動派竊取委內瑞拉軍方的軍事機密並提供情報支援而展開。因此，360安全大腦也將這一系列攻擊行動命名為HpReact（譯為：幫助反動派政府）。而且截至目前，這些威脅活動仍然非常活躍。

為進一步跟進此次APT事件，我們需要搞清楚以下幾點問題：

【1】

如何發現APT-C-43組織？

當我們談及大國在第五維度網路空間博弈的時候，大多提及的是美、俄、以色列等，而關於拉丁美洲國家的網路威脅和具有政治動機的駭客組織方面往往被人忽視。

然而，去年委內瑞拉的政局變動，將安全研究人員的視野拉向了這個地區的網路間諜活動。

經過持續性跟進，2020年6月，360安全大腦透過無檔案攻擊防護功能發現了一款Python語言編寫的新型後門病毒Pyark，再透過對該後門的深入挖掘和溯源分析，發現一系列從2019年起至今，一直活躍的高階威脅行動。

其中，攻擊者透過入侵委內瑞拉的多處軍事機構，部署後門病毒，不間斷的監控和竊取最新的軍事機密。根據360對APT組織的命名方式，將其命名為APT-C-43。

【2】

APT-C-43組織此次行動有何特色？

開篇我們提到，APT-C-43這一次的攻擊行動極具軍事情報色彩，還被冠以“HpReact攻擊行動”之名。那如何鎖定並判定HpReact活動為反動派提供情報支撐？我們分析研討了以下三點：

其一，HpReact活動與委內瑞拉政亂高度吻合

其二，採用了與軍情高度相關的誘餌文件

其三，APT-C-43組織與Machete組織關聯

從細節方面看，APT-C-43組織擅長使用釣魚郵件發起攻擊，並在入侵受害者機器後部署由python語言編寫的的後門程式Pyark(Machete)，網路通訊主要依靠FTP和HTTP協議，成功滲透目標機器之後監視目標使用者，竊取敏感資料等。感染目標機器的完整流程如下：

智 庫 時 評