美國網絡安全公司火眼(FireEye)近期公佈了一份調查資料,顯示一個被命名為APT40的中共網絡間諜組織正受到火眼的關注,其自2013年開始的網絡攻擊行為也因此遭到曝光。

火眼公司多名專家於發佈聯合調查文章〈 ATP40:審查中共網絡間諜黑客〉,文章指出,火眼公司正在關注一項針對關鍵技術和傳統情報目標進行的網絡間諜行動,該行動得到中共的支持,由代號被稱為「APT40」的網絡黑客組織執行。

調查指出,該黑客組織至少在2013年就已經開始進行活動,當時的目標是支持中共海軍現代化建設。該黑客組織專門針對工程、運輸和國防工業領域,特別是在這些領域與海事技術重疊的專業技術領域。最近,火眼公司還觀察到參與「一帶一路」的國家也受到了該黑客組織的攻擊。總的來說,柬埔寨、比利時、德國、香港、菲律賓、馬來西亞、挪威、沙特阿拉伯、瑞士、美國和英國等國家都成為APT40的目標。

這個中共網絡黑客組織先前被報道為TEMP.Periscope和TEMP.Jumper。

黑客宗旨:配合中共全球野心

2016年12月,中共軍隊(PLAN)在南海海域搜捕了一架美國海軍無人水下航行器(UUV)。火眼公司調查到,在此後的一年之內,黑客組織APT40偽裝成UUV製造商開展了眾多網絡攻擊活動,目標瞄準了從事海軍研究的大學,目的是為了獲得支持中共海軍發展的先進技術。火眼公司的專家們相信,APT40對海事問題和海軍技術的重視,最終是為了支持中共建立「藍水海軍」(a blue-water navy)的野心。

除了海洋是重點外,APT40還針對傳統情報目標覆蓋了更為廣泛的區域性目標,特別針對在東南亞開展業務或涉及南中國海爭端的組織機構。最近,這樣目標包括與東南亞選舉有關的受害者,這可能是受到了中共「一帶一路」活動的影響。

火眼公司認為,中共的「一帶一路」(BRI)是一項耗資1萬億美元的項目,旨在建立鏈接亞洲、歐洲、中東和非洲的陸路和海上貿易路線,以擴大中共將來在這個大區域內的影響力。

APT40帶中共基因 並非他國黑客

火眼公司專家認為,有合理的理由可以認為APT40是由中共支持的中國網絡間諜黑客組織,因為他們的行動目標與中共利益一致,並有多項技術痕跡表明該組織的基地在中國。

對APT40的營運時間分析表明,該組織的活動時間可能以中國北京時間(UTC +8)為準。此外, APT40命令和控制(C2)的多個網絡區域最初由中國域名經銷商註冊,並擁有帶有中國位置信息的Whois記錄,這表明該基礎設施採購流程以中國為基地。

調查還顯示,APT40還使用了位於中國的多個互聯網協議(IP)地址進行運作。在一個實例中,從開放索引服務器恢復的日誌文件顯示,位於中國海南的IP地址(112.66.188.28)已被用於管理與受害電腦上的惡意軟件通信的命令和控制中心。所有登錄到此C2的電腦都配置了中文語言設置。

火眼掌握APT40攻擊流程

一、初步入侵

火眼公司已經觀察到APT40利用各種技術進行初步入侵,包括網絡服務器開發;進行公共可用和定製後門的網絡釣魚活動;以及戰略性網絡入侵。

‧ APT40在很大程度上依賴於網頁後門(web shells)。根據所處位置,網頁後門可以持續訪問受害者的系統,重新感染受害者系統,並促進橫向移動。
‧ 該行動的魚叉式網絡釣魚電子郵件通常利用惡意附件,但火眼公司也觀察到有時會使用Google Drive鏈接。
‧ APT40在其網絡釣魚操作中利用漏洞攻擊,經常在漏洞發佈後的幾天內將漏洞武器化。火眼公司觀察到的漏洞包括:
o CVE-2012-0158
o CVE-2017-0199
o CVE-2017-8759
o CVE-2017-11882

二、建立立足點

APT40使用各種惡意軟件和工具來建立立足點,其中許多是公開可用的,或其它黑客組織使用的惡意軟件。在某些情況下,該組織也曾使用過具有代碼簽名證書的可執行文件來避免遭到檢測。

‧ 在下載其它有效負載之前,使用AIRBREAK、FRESHAIR和BEACON等首道後門。
‧ PHOTO、BADFLICK和CHINA CHOPPER是APT40最常使用的後門之一。
‧ APT40通常會瞄準VPN和遠程桌面憑據,以便在目標環境中建立立足點。這種方法被證明是理想的,因為一旦獲得這些憑證,他們可能不需要高度依賴惡意軟件來繼續執行任務。

三、升級特權

APT40混合使用自定義和公開可用的憑據收集工具,以升級權限和輸出密碼哈希值。

‧ APT40利用自定義憑證竊取工具,例如HOMEFRY,一種與AIRBREAK和BADFLICK後門一起使用的密碼破解器。
‧ 此外,Windows Sysinternals ProcDump實用程序和Windows憑據編輯器(WCE)也被認為是在入侵期間使用的程序。

四、內部偵察

APT40使用受損的憑據來登錄其它連接系統,並進行偵察。該組織還利用受害者環境中的RDP、SSH、合法軟件、一系列本機Windows功能、公開可用工具,以及自定義腳本來促進內部偵察。

‧ APT40在受害組織內部使用MURKYSHELL來進行端口掃瞄IP地址,並進行網絡計數。
‧ APT40經常使用本機Windows命令(如net.exe)對受害者環境進行內部偵察。
‧ 幾乎在攻擊的所有階段都嚴重依賴網頁後門。內部網絡服務器與面向公眾的設備相比,通常沒有配置相同的安全控制,這使得它們更容易被APT40和類似具有豐富經驗的黑客組織利用。

五、橫向移動

APT40在整個環境中使用許多橫向移動方法,包括自定義腳本、網頁後門,以及遠程桌面協議(RDP)。對於每個被入侵的新系統,該組織通常會執行惡意軟件,執行額外的偵察並竊取數據。

‧ APT40還使用本機Windows實用程序,如at.exe(任務計劃程序)和net.exe(網絡資源管理工具)進行橫向移動。
‧ 公共可用的隧道工具與獨特的惡意軟件並用成為行動的特徵。
‧ 雖然MURKYTOP主要是一種命令行偵察工具,但它也可以用於橫向移動。
‧ APT40還使用公共可用的工具和名為DISHCLOTH的自定義實用程序來攻擊不同的協議和服務。

六、維持存在

APT40主要使用後門,包括網頁後門來保留在受害者環境中的存在。這些工具可以持續控制目標網絡中的關鍵系統。

‧ APT40最喜歡使用的是用網頁後門來保持其存在,尤其是公開可用的工具。
‧ 在建立立足點階段期間使用的工具也繼續用於維持存在階段,這些工具包括AIRBREAK和PHOTO。
‧ 一些APT40惡意軟件工具可以通過利用GitHub、Google和Pastebin等合法網站進行初始C2通信來逃避典型的網絡檢測。
‧ 利用通用TCP端口80和443來混入常規網絡流量。

七、完成使命

完成任務通常涉及從目標網絡收集並傳輸信息,這可能涉及在到達目的地之前,通過多個系統移動文件。火眼公司已觀察到APT40合併從受害者網絡獲取的文件,並使用歸檔工具rar.exe在退出之前壓縮並加密數據。火眼還觀察到APT40會開發如PAPERPUSH工具,以幫助他們高效定位數據並盜竊。

APT40依然在進行黑客攻擊

火眼公司調查顯示,儘管公眾越來越關注,但中共黑客組織APT40繼續按照常規節奏進行網絡間諜活動。火眼公司的專家們預計,該黑客組織的營運將至少在近期和未來一段時間持續。

根據APT40在2017年擴大到與海外大選相關的目標來看,火眼公司預測,受中共「一帶一路」項目的推動,該中共黑客組織的未來目標將影響海洋以外的其它行業。特別是隨著個別「一帶一路」項目的展開,人們可能會看到APT40將繼續開展活動,並延伸到「一帶一路」項目沿線的對手機構內部。#