卡巴斯基研究人员发现一系列高度复杂的网络间谍攻击行动,其目的是窃取南亚的外交、政府和军事实体的信息。这些攻击行动持续了近六年,并且与在该地区检测到的其他最近攻击存在联系。针对这些攻击行动中使用的工具和手段的进一步调查,使研究人员得出结论,即这些攻击背后的攻击者为PLATIUM组织——一个他们认为已经消失的网络间谍组织。为了在如此长的时间里保持行动隐蔽,该黑客组织使用了隐写技术对其信息进行编码,从而隐藏了信息的存在。
一段时间以来,安全研究人员一直在警告隐写技术的危险性。写术是以隐藏格式传输数据的做法,在这种情况下,发送数据的事实本身就是伪装的。这样来看,它与加密技术是不同的,因为加密技术仅是隐藏数据。通过使用隐写技术,网络间谍攻击者可以在受感染系统中潜伏很长时间而不引起怀疑。PLATINUM组织正是使用了这种方法,这是一个针对南亚和东南亚政府及相关组织的网络攻击组织,其上一次已知活动早在2017年就有报告。
在最新发现的PLATINUM攻击行动中,恶意软件命令被嵌入网站的HTML代码中。键盘上的“tab”和“空格键”键不会改变HTML代码在Web页面上的显示方式,所以威胁攻击者按照这两个键的特定顺序对命令进行编码。因此,这些命令几乎无法在网络流量中检测到,因为恶意软件只是访问了一个看上去可疑的网站,整体的流量不会引起人们的注意。
为了检测恶意软件,研究人员必须检测能够上传文件到设备的程序。其中,安全专家注意到一个程序的行为很奇怪。例如,该程序会访问公共云服务Dropbox进行管理,并被编程为仅在某些时间工作。研究人员后来意识到,这样做的原因是为了隐藏正常工作时间内正在运行的进程中的恶意软件活动,这样其行为就不会引起怀疑。实际上,下载器会从受感染设备窃取并上传数据和文件。
卡巴斯基安全研究员Alexey Shulmin说:“在PLATINUM已知的存在过程中,其攻击行动一直都是复杂的和精心设计的。这次攻击中使用的恶意软件也不例外。除了隐写技术外,其恶意软件还有其他功能,可以让其在雷达下长时间飞行而不被发现。例如,它不仅能够从命令中心传输命令,还可以在受感染设备之间互相传输命令。通过这种方式,他们可以访问与受攻击设备属于同一基础架构的设备,而这些设备本身可能是无法连接到互联网的。总之,看到像PLATIUM这样的威胁组织实施隐写技术是一个迹象,表明高级可持续性威胁正在增强其攻击手段的复杂性,以便能够不被发现,安全厂商在开发其安全解决方案时,应该注意这一点”。
为了降低成为复杂网络间谍攻击行动受害者的风险,卡巴斯基建议采取以下措施:
· 为员工进行安全意识培训,向他们说明如何识别和避免潜在恶意的应用程序或文件。例如,员工不应从不受信任或未知的来源下载和安装任何应用或程序。
· 为了实现端点级别的检测、调查以及进行及时的事故修复,请部署EDR解决方案,例如卡巴斯基端点检测和响应。
· 除了部署基础点保护外,还需要部署能够在早期阶段在网络层面检测高级威胁的企业级安全解决方案,例如卡巴斯基反针对性攻击平台。
· 为您的安全运营中心团队提供对最新威胁情报的访问,让他们了解威胁攻击者使用的最新工具、技巧和策略。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球270,000家企业客户保护最重要的东西。