近日，安全公司Cylance公開(kāi)了一個(gè)針對(duì)日本商業(yè)和關(guān)鍵基礎(chǔ)設(shè)施，代號(hào)“沙塵暴”行動(dòng)的黑客活動(dòng)。“沙塵暴”行動(dòng)幕后之手至少?gòu)?010年起已開(kāi)始活動(dòng)，黑客已把日本、韓國(guó)、美國(guó)和其他亞洲國(guó)家的幾個(gè)組織作為了攻擊目標(biāo)。

黑客組織資金充足

專(zhuān)家相信此是資金充足的專(zhuān)業(yè)組織所為， 且有些情況導(dǎo)致研究者猜測(cè)或有國(guó)家組織的參與。

Cylance研究員揭露幕后之手從2015年開(kāi)始集中精力于日本組織機(jī)構(gòu)，他們的黑客攻陷了日本電力、石油和天然氣，交通運(yùn)輸，財(cái)政和建筑行業(yè)等組織機(jī)構(gòu)的網(wǎng)絡(luò)。

受害者列表中含有一家汽車(chē)制造商，一家韓國(guó)電力公司的日本子公司，以及石油天然氣公司。

“水坑”和“魚(yú)叉釣魚(yú)”式攻擊的習(xí)慣，展現(xiàn)了這些黑客的“軍火庫(kù)”中獨(dú)立后門(mén)和零日漏洞是多么有效。在2015年五月實(shí)施的大量攻擊中，針對(duì)韓國(guó)和日本目標(biāo)，此組織還使用了幾種安卓后門(mén)。

得益于“沙塵暴”行動(dòng)幕后組織發(fā)動(dòng)的這些攻擊不夠復(fù)雜。在2011年，當(dāng)其黑客依靠Adobe Flash Player(CVE-2011-0611) 和Internet Explorer(CVE-2011-1255) 零日漏洞來(lái)傳播Misdat后門(mén)的一個(gè)變種時(shí)，研究員注意上了這個(gè)組織。

“盡管此組織增加了一些其主要后門(mén)針對(duì)亞洲攻擊的突出程度，此次威脅在2010年期間幾乎沒(méi)有什么公開(kāi)信息可以獲取。”Cylance 發(fā)布的報(bào)告中陳述到，“直到2011年，從一系列的攻擊中撬出一個(gè)以建立目標(biāo)網(wǎng)絡(luò)據(jù)點(diǎn)為目標(biāo)的Internet Explorer 8 的無(wú)補(bǔ)丁漏洞，CVE-2011-1255，“沙塵暴”行動(dòng)開(kāi)始浮出水面。”

以往記錄

2011年10月， 黑客以收集穆阿邁爾·卡扎菲死后帶來(lái)的利比亞危機(jī)的相關(guān)情報(bào)為目標(biāo)。在2012年，此組織祭出了 Internet Explorer 零日漏洞 (CVE-2012-1889)來(lái)配合其網(wǎng)絡(luò)間諜活動(dòng)。

Cylance 的專(zhuān)家注意到在2013年3月， “沙塵暴”行動(dòng)活動(dòng)銳減，恰逢Mandiant的代號(hào)為APT1的中國(guó)APT組織分析報(bào)告發(fā)布之后……

在2014年2月，“沙塵暴”行動(dòng)幕后組織再現(xiàn)， 啟動(dòng)了一系列攻擊，祭出了新的Internet Explorer零日漏洞(CVE-2014-0322) 來(lái)用于水坑攻擊。

Cylance 的研究員堅(jiān)信， 針對(duì)日本關(guān)鍵基礎(chǔ)設(shè)施的攻擊將會(huì)快速增長(zhǎng)。

“無(wú)論如何，我們相信針對(duì)日本關(guān)鍵基礎(chǔ)設(shè)施和能源公司的特性攻擊不會(huì)間斷，并且很有可能持續(xù)至將來(lái)逐步升級(jí)擴(kuò)大。”Cylance總結(jié)道。