日前,360威脅情報中心追日團隊發布《摩訶草組織》報告�,深度披露針對中國�����、持續活躍的南亞APT組織——摩訶草組織�����。這是繼2015年5月披露海蓮花組織以后�,360再度披露針對中國進行攻擊的境外APT組織��。據悉��,摩訶草組織主要針對中國�、巴基斯坦等亞洲地區國家進行網絡間諜活動,以竊取敏感信息為主�,自2012以來已發起四次大規模攻擊。
報告指出��,摩訶草組織的APT攻擊具有不計成本����、持續攻擊的特點,加上我國相關政府與科研機構的檢測欠缺和響應乏力�����,導致摩訶草組織在曝光披露后依然活躍。
竊取中國敏感科研與軍事信息
報告指出�,摩訶草組織的主要攻擊中國科研教育和政府機構,目的是竊取敏感數據情報��。這也代表了以中國為攻擊目標的APT組織所具有的特性:關注科研教育�����、政府機構����,以竊取數據為目的��。
在分析摩訶草組織過程中��,360追日團隊發現在針對中國的攻擊�,從2015年第三方和第四次攻擊行動中,針對中國的目標行業除了科研教育外�,針對軍事領域的相關攻擊不斷增加,尤其是關于南海爭端等����。也就是APT組織會緊密圍繞政治、經濟���、科技��、軍工等熱點領域及事件發動相關攻擊�����。類似“****”��、“軍民融合”等是除了摩訶草組織以外����,也是如海蓮花組織、APT-C-05�、APT-C-12、APT-C-17等這些組織重點關注的領域���。
主要針對的行業分布
從受影響的省市來看�����,國內受影響量排名前三的省市是:北京��、廣東�����、福建�����,其中北京地區是主要攻擊目標����,在西藏���、寧夏和貴州這三個省市自治區暫未發現受影響的用戶���。
國內用戶受影響情況(2015年7月-2016年6月)
追日團隊在報告中詳細列舉了摩訶草組織發起攻擊的手段,主要是利用網絡時代的各類上網手段�����,如魚叉郵件�、釣魚網站、通訊工具(主要是QQ)以及社交網絡來攻擊電腦�����,入侵系統��。這其中,以魚叉郵件�、釣魚網站范圍最廣、數量組多;而利用通訊工具����、社交網站來傳播木馬,具有主動聯系使用者且一旦建立聯系就可以持續攻擊的特點�����,因此危害更大����。
攻擊從未停止且不計成本 背后隱現國家背景支持
摩訶草組織針對中國等國家的攻擊,自2009年至今已經持續7年之久�。從2013年Norman安全公司將摩訶草組織(即HangOver)曝光后,該組織并未因此停止相關攻擊活動�����,尤其從2015年至2016年期間�����,相關攻擊活動愈演愈烈。追日團隊研究人員表示�����,對摩訶草組織這四次攻擊行動的分析�,我們發現其攻擊意圖中主要的攻擊目標和目的也都未發生改變,這也體現出幕后組織意志的堅定性和達到目標的決心�����。
“摩訶草組織不會因為一次攻擊失敗就放棄目標�,而是蟄伏起來,重新制定戰術�����、分配資源�����,等待新一輪的攻擊���,直到達到目的。”
除了持續性�����,摩訶草組織的攻擊不計成本也是其最大的特點。在資源使用方面�,摩訶草組織基本是對目標所存在的所有受影響攻擊面都會涉及考慮到,采用各種方式��,從各個角度進行攻擊���。幾乎是一種為達到目的�����,不擇手段��,不計成本的攻擊方式�。 報告數據顯示�,摩訶草相關攻擊行動中使用了大量漏洞,其中至少包括一次0day漏洞使用���,相關惡意代碼非常繁雜——惡意代碼HASH數量有995個�,C&C數量為731個����,相關惡意代碼會持續的迭代更新�����。載荷投遞的方式��,主要是以魚叉郵件進行惡意代碼的傳播��,另外會涉及少量水坑攻擊���,尤其是該組織選擇了基于即時通訊工具這種高成本的攻擊。
追日團隊研究人員表示�,摩訶草組織的攻擊顯然不是個人或普通組織能發起的,幕后應該有大財團甚至是國家支撐�����。雖然暫時沒有直接的證據證實摩訶草組織是一個由國家支持的APT組織�����,但攻擊過程中所使用的大量資源�����,都表明這不是個人或一般組織能承受的攻擊成本����,除非幕后有一個強大的財團支持,另外����,該組織相關攻擊所表達出明確的意圖和堅定的意志,這也不是個體所能達到的���,結合這些客觀現象�,我們認為摩訶草更有可能是由一個國家背景長期支持的APT組織�����。
攻擊被曝光依然活躍 國內能力型安全廠商嚴重缺位
摩訶草組織從2009年至今已持續活躍了7年�,摩訶草組織最早由Norman安全公司于2013年曝光,隨后又有其他安全廠商持續追蹤并披露該組織的最新活動��,但該組織并未由于相關曝光而停止對相關目標的攻擊�,相反從2015年開始更加活躍。
為何摩訶草組織在曝光披露后依然活躍����,繼續開展網絡間諜活動,竊取我國敏感信息?追日團隊在報告中指出�����,針對中國的攻擊中,往往低成本的攻擊就能達到攻擊者的預期�,而導致低成本入侵頻頻得手的主要原因是由于被攻擊目標防御薄弱。但更主要的原因是我國針對APT攻擊的檢測欠缺和響應乏力�����。
追日團隊對摩訶草的監控發現��,一些披露過的攻擊在此后依舊活躍��,有些木馬甚至是查殺過的����。這是因為在受攻擊后,對相關漏洞沒有跟進修補��,或者發現問題時也沒有及時改進���,導致APT攻擊愈演愈烈。
更重要的原因是國內能力型廠商依然缺位���。報告指出��,國內號稱能夠檢測APT的產品很多��,但真正能發現��、分析��、溯源和防護高級威脅的安全產品依然很少����,在國內只有很少幾家安全廠商能實現自主發現APT攻擊,一般機構都是在國外安全廠商披露后進行跟進分析����。
據悉,這種狀況和國內缺乏能力型安全廠商生存的空間有很大的關系����。360企業安全集團總裁吳云坤表示,如果在現在的防護體系中�,能夠引入更多能力型廠商,更多能從監控發現到檢測防御每個環節打通完善�����,形成良性的閉合循環�,各類安全廠商與被攻擊目標之間形成協同聯動�,即使我們無法提前知曉摩訶草組織何時卷土重來�,但我們依然可以將后續的相關攻擊拒之門外,讓摩訶草的第五次攻擊行動化為泡影���。
京公網安備 11010502041587號