在过去几个月中,网络间谍活动攻击开始瞄准多个联邦文职政府机构的高级官员,这些攻击活动仍然处于调查之中,但是受害机构的名称可能永远无法证实,或者说所产生的损害程度永远不得而知。
欢迎来到高级持续攻击的时代,在这个时代,由民族国家攻击者发起网络间谍攻击随时可能向政府和私营行业发动攻击,但是受害者的公开披露大多事自愿形式的,非常少见,即使公开披露,信息也并不全面。根据某位熟悉这次攻击的人员透露,近日针对文职政府机构的攻击是从典型的高级持续攻击手段开始的:一封附有恶意附件(表面看起来是合法的)社会工程电子邮件。在过去几年中,这种方法以及邮件中有说服力的网址变体也被用于渗透其他机构、国防承包商和企业。
有一件事是可以肯定的:没有人能够幸免于这些攻击。“大部分联邦和非联邦机构都受到过高级持续攻击,”Shadowserver公司的安全专家StevenAdair表示,受害者几乎跨越每一个行业,从航空电子设备到国际法到人权。
“可以说,随着时间的推移,没有人能幸免于难。”
Fidelis公司研究总监WillArce同意这一说法:“如果一名安全从业人员表示他的设备都没有受到外部竞争对手的攻击,那么他肯定在撒谎,因为所有人都受到过高级持续性攻击。”
既然“每个人”都受到过高级持续性攻击,为什么没有人站出来谈论这件事?安全专家表示没有企业希望承认自己是受害者,政府机构害怕泄漏他们的漏洞,而企业则担心会失去股东或者客户的信任。
“这对于行业来说是一个巨大的问题,”Invincea公司首席执行官AnupGhosh表示,“核心原因之一在于我们没有解决这个耻辱因素,所有这些信息都处于保密状态,市场没有机会来了解发生了什么事情。直到Anonymous和AntiSec开始公开攻击政府机构和公司,人们才开始意识到真正发生的事情。”
Ghosh表示,企业需要“克服”这个困难,并至少与其他人分享他们遭遇的攻击类型,“只有真正的攻击信息被公开,市场才能开始解决这个问题。”
谷歌两年前公开宣布其受到OperationAurora的攻击,该攻击主要针对谷歌的知识产权,还有其他几十个美国公司,包括Adobe和Intel,这种高级持续攻击开始成为业界家喻户晓的攻击形式。但是根据McAfee的报告显示,这种攻击形式已经持续五年为非作歹,到目前为止共窃取了来自14个国家的79个政府机构、跨国企业、非营利组织和其他组织的知识产权信息,这个数据远远超过两年前公开的企业数量。
在这种攻击中,攻击者获取了来自受害者(包括国防承包商)的敏感政府信息、电子邮件、法律合同和设计文件。这种攻击是从钓鱼电子邮件信息开始的,电子邮件信息包含一个网址,一旦点击网址,就会下载一个远程访问工具到受害者的机器。这就为攻击者渗透入网络和窃取信息提供了一个立足点。
我们仍然不知道受到这种攻击的所有企业和机构的名单,McAfee根据行业和地区将受害者进行了分类,并披露了少数实体的名称:亚洲和西方国家奥委会、国际奥林匹克委员会、世界反兴奋剂机构以及联合国。
与此同时,近日针对美国文职联邦机构的高级持续攻击者能够获取对受害者域名控制器和文件服务器的控制,根据知情人员透露,某些数据泄漏需要花几个月来清理。
持续并不意味着高级
攻击者使用了复杂的恶意软件和SSL加密连接来从该政府机构来窃取信息,并将信息发送回他们的主服务器,“我认为他们比这个政府机构本身更加了解网络,”知情人员透露。
虽然大多数网络间谍活动都是持续的,但是并不是所有攻击活动都像这个一样高级。根据一名取证专家表示,如果是高级攻击,你不太可能能够抓住它。“大多数高级持续攻击者都想要自由出入,不想要你知道他一直在那里,”他表示。
Foreground安全公司总裁兼首席信息官DavidAmsler表示,他的公司看到大部分攻击都是持续的,但不是高级的。“他们不断把门弄坏,如果他们进入网络的话,他们会创建五个不同的后门来确保他们能够一直在那里,”Amsler表示。
对于取证调查人员来说,最棘手的部分就是收集攻击者试图隐藏其行动的情报。这意味着让攻击者继续他们的攻击行为以分析他们正在跟踪的数据类型。
“对于企业而言,最关键的事情就是不要作出过激反映或者关闭设备,因为这样子很容易打草惊蛇,”Foreground公司的Amsler表示。这样做也可能会破坏已经收集到的证据。
“你可以尽可能地不让他们察觉,直到能够收集必要的相关信息。现在的事件响应,你不只是拿着计算机来做取证分析:你需要完整的数据包捕捉分析,而这不仅仅是在一个系统上,”他表示。
“那些更加持久更加高级的攻击者”才是真正让人担心的地方,他补充说道。