尽管网络间谍活动背后的原因大多是为企业攫取竞争优势,但这一猜测却一直没有太多证据支持。直到现在,一起新的间谍活动显示出许多数据泄露事件与经济利益之间几乎是一对一的映射关系。
荷兰安全公司Fox-IT在去年11月发现了一个网络间谍组织,并将其命名为Mofang(魔方)。该组织至少自2012年2月以来便袭击了不同国家和行业的超过12个目标,而且至今依然活跃。魔方的目标包括了美国政府机构、印度和缅甸军事机构、新加坡关键基础设施、德国汽车公司的研发部门,以及印度武器工业。
但是其中一次与缅甸皎漂经济特区商业交易有关的行动,提供了这些攻击者动机的线索。在那次攻击中,魔方瞄准了负责该区域投资决策的一个财团,而某国石油集团公司正希望在那个地区投资建设油气管道。
Fox-IT高级威胁情报分析师尤纳坦·科林斯玛说:“这真是一个有意思的攻击活动,从中可以看出企业的初始投资是如何驱动数据窃取的。他们要么是害怕失去投资,要么仅仅是想要更多的商业机会。”
发现魔方
VirusTotal是谷歌的一个免费在线服务,聚集了来自赛门铁克、卡巴斯基、F-Secure和其他安全公司36种以上的反病毒扫描器。任何人,只要发现了可疑文件,都可以上传提交到该网站让扫描器识别是否恶意。Fox-IT就是通过在VirusTotal上发现了该组织的某些恶意软件才找出了魔方。
Fox-IT发现的是该组织使用的两款主要工具:ShimRat(远程访问木马)和ShimRatReporter(侦察工具)。该恶意软件是根据受害者定制的,也就让Fox-IT能够从攻击者使用的电子邮件文档中出现的受害者名称,来识别出他们的攻击目标。
与许多其他国家支持的黑客组织不同,魔方并不使用零日漏洞利用突破目标系统,而是主要依靠网络钓鱼攻击将受害者引诱到已被拿下的网站,利用已知漏洞将恶意软件下载到他们的系统中。该组织还会劫持反病毒产品来运行他们的恶意软件,这样一来,即使受害者查看进程列表,能看到的也只是合法的反病毒程序,而其实内里早被替换成了恶意软件。
研究人员发现攻击者使用的一些代码与之间的一个黑客组织所用的很相似。其钓鱼邮件攻击中所用的文档是用WPS,一套与微软Office相类似的办公软件。
攻击历史
第一次行动在2012年5月,袭击了缅甸的一个政府实体。魔方黑掉了商务部的一台服务器。同一个月,他们还攻击了两家德国汽车公司,其中一家参与了军方装甲坦克和卡车的技术开发,另一家则与火箭发射装置有关。
2013年8月和9月,他们攻击了美国的目标。一个案例里,他们通过电子邮件向美国军方和政府工作人员发送了《21世纪电子战要点》训练课程的报名表。他们还针对过一家做太阳能电池研究的美国公司,以及印度2013国际防务展(DEFExpo)的参展商。在2014年,韩国一个不明组织是他们的攻击目标;同年4月,他们利用一份声称是缅甸人权与制裁相关的文档攻击了缅甸的一个政府机构。
他们的目标范围非常大,种类繁多,但技术和研发公司始终是他们追逐的。
但最具说服力的攻击案例,是去年遭殃的一个缅甸政府实体和新加坡工程集团(CPG Corporation),两个机构均与缅甸皎漂经济特区的外国投资决策有关。该经济特区用减税和延长土地租期来吸引外资。对于2009年就在该特区投资的某石油集团公司而言,皎漂经济特区有着特别的吸引力。该公司签署了一份建设港口和开发运营中缅油气管道的谅解备忘录,以省去必须经过马六甲海峡运输天然气的麻烦。但在缺乏一份具有法律约束力的协议情况下,缅甸有可能会违约。
2014年3月,缅甸选择了由新加坡工程集团领衔的财团帮助决策皎漂经济特区的发展。2015年,该财团计划宣布赢得基础设施投资权的公司名单,但到了7月仍无结果漏出。那个时间,也正是魔方组织黑进了新加坡工程集团的时间。Fox-IT不清楚到底被窃取了哪些具体信息,但该时间点本身已经极具说明性。
该时间线是非常特定的,十分贴合决策期。因为在今年,该石油公司赢得了在缅甸经济区建设油气管道和港口的投标。