上周六结束的2013黑客年会,今年活动标语”Cyberwar: In hack we trust”,在「APT1 反攻网军后台」这场演说中得到最好注解。来自卢森堡的资深资安研究人员Paul Rascagnere研究今年初Mandiant公司发佈的APT1报告,发现网军所使用的远端木马工具Poison Ivy的漏洞并成功入侵其所使用的中继站,最后在一连串的受害目标名单上,惊见台湾仍有包含电信公司、网路设备厂商在内等60多个单位名列其中。
Poison Ivy(简称PI)常见于於许多APT攻击,是拥有档案管理、机码管理、程序管理、萤幕抓取、声音档录制等多功能的远端木马工具(RAT),因而受到攻击者爱用。此次研究人员自行撰写PI扫描器,扫描出一连串位于香港的PI主机,紧接著找出PI的漏洞并破解登入PI的密码。研究人员发现此命令控制(C&C)伺服器是躲在一代理服务器之后,透过通讯埠转送(Port Forwarding)的方式将真实IP隐藏起来。登入攻击者的VMware远端桌面后,研究人员进一步发现许多连上此C&C主机的受害电脑。
在此次Paul的研究中也发现攻击行為具有规律的上下班时间性,与过去台湾研究人员发现相同。(注:卢森堡时间比香港当地晚6小时。)
紧接着,研究人员继续发现第2个黑客使用的RAT工具Terminator,这支RAT先前趋势科技曾发现并命名為Fakem。研究人员继续撰写工具并暴力破解Terminator的密码,接着发现连结到Terminator的受害单位包括公营、民间企业、政治团体、民运人士、记者等。
最后Paul Rascagnere统计受害email中,总共有2247个来自台湾(.tw),而受害企业包括电信公司、竹科知名网路设备商、高雄某大学等60多家。上述企业网路中现今仍存有PI或Terminator的用户端未清除,这些恶意程式可能因為不断变种,因而不容易被防毒软体侦测。Paul Rascagnere表示已通报受害单位,可进一步提供协助处理。
