蓝白蚁(blue termite) :专攻日本的APT组织

本月初,有新闻指出日本养老金系统因一名员工操作不当,导致系统遭网络攻击,大约125万份个人信息被泄露。然而根据卡巴斯基最新调查报告,入侵日本养老金系统的是专门针对日本的APT攻击组织“蓝白蚁(blue termite)”。

专攻日本

卡巴斯基实验室称,恶意攻击者对日本的攻击是多方面的,不仅仅是养老金系统,还有日本政府、国防工业、重要基础设施、航空航天、财政金融、制造业和学术界。通过对云服务商的分析发现,有超过300个网站受到感染并散播恶意程序。另外赛门铁克和趋势科技还认为,该组织很可能与黑客组织CloudyOmega有关。

蓝白蚁APT惯用的攻击向量是钓鱼邮件,大部分的邮件中会附着一个被命名为“医疗保险通知”的Word文档,事实上它是一个自解压的可执行文件。一旦受害者打开了这一文件表面上显示的是Word文档,其实内部隐藏的恶意程序会自动执行,感染用户的计算机。然后会和攻击者的C&C服务器进行通信,窃取用户信息等。

卡巴斯基实验室称,C&C通信活动开始于2014年9月18日,在10月到12月间,每天大概有100次的C&C连接,然后就戛然而止了。然而2015年4月,C&C通信活动又突然间出现了,并且每天大约有140次的通信连接。

一旦与受害者建立了C&C通信,攻击者首先会分析受害者设备上的目录和文件,查看是否有有价值的数据可以窃取。如果没有,攻击活动停止;如果有,攻击者会进一步的释放黑客工具,窃取用户信息。这些工具还可以用于后面的一系列操作,如劫持邮箱账户、劫持web浏览器信息。

蓝白蚁APT和CloudyOmega的活动应该不会就此戛然而止,相信以后可能有更多。还有一个比较有趣的现象是,蓝白蚁只会针对日本展开攻击,而不会对其他的国家造成任何的威胁。

疑点重重

1. CloudyOmega是政府黑客,还是黑客主义者,还是一群坐在地下室里的脚本小子?从攻击的复杂程度来看,更像是政府黑客,或者至少是精英团体。从攻击的动机角度来看,似乎更应该是政府黑客。

2. 如果CloudyOmega是政府黑客,那应该是哪个国家的呢?中国?朝鲜?俄罗斯?还是其他的国家?

3. 日本的养老金系统入侵事件和美国人事管理局入侵事件的发生时间是如此的相近,不得不让人好奇,他们两者之间有什么样的关系?

相关阅读

日本养老管理机构一名员工近期在工作中不慎点开一封外来电子邮件中的带病毒附件,致使大约125万份个人信息被泄露。这些数据包括姓名、身份证号、出生日期和居住地址。查看详情

上一篇:程序员"偷懒"给软件带来安全隐患

下一篇:OWASP 2015中国应用安全论坛预告