【快讯】近日,外媒爆出“透明部落”APT组织正通过感染USB设备,瞄准世界各地的政府和军队发起新一轮攻击活动。高阶持续性威胁APT组织的网络军火,战备资源不断升级,网空界或将又迎来一场“血雨腥风”。而这个几乎沉积四年之久的组织,在今年却频繁的高调“回归”,其背后又隐藏着哪些秘密?今天,智库就与大家探一探究竟。
“透明部落”(Transparent Tribe):一个具有巴基斯坦政府背景的APT组织,其长期针对周边国家和地区的军队和政府机构实施定向攻击,目的是收集有关政治问题的情报。从2013年开始一直活跃至今,并一直与印巴两国局势存在高度性关联。
“透明部落”再度来袭
新武器USB攻击“崭露头角”
今年2月,外媒爆出隐匿四年的“透明部落”瞄准印度军方展开系列间谍活动,时隔不到半年,近日外媒再次爆出,“透明部落”瞄准全球的政府和军队发起新一轮网络间谍活动。
不过,值得注意的是,与上一次采取的恶意宏文件攻击不同,此次回归,它携带了一种新型工具——USB攻击,作为APT组织的新武器,这次攻击尤为令人关注。
以往的“透明部落”攻击,是这样的:
通过嵌入恶意宏文件执行,最终可获取受害机器上正在运行的进程列表,并根据攻击指令进行下一步动作。
采取管理远程文件系统、捕捉屏幕截图、键盘记录、使用内置麦克风进行音频监控、从网络摄像头记录视频流、窃取密码和窃取文件等方式达到攻击效果。
而在最新的“透明部落”攻击中,它是这样的:
今天,透明部落对其“独门战术”恶意宏进行了“升维”更新。其增加一个用于管理受感染客户端机器的服务器端组件,以及一个新的USBWorm组件,该组件可以从可移动驱动器中窃取文件,并通过感染可移动介质在系统间移动。
简而言之,新型USB攻击不仅可以通过U盘窃取重要信息,还可以通过串行总线设备感染到其他系统中任意一台设备。
与此同时,该新型USB攻击的隐秘性极强,往往不易被人发现,或将成为APT界的新型“隐藏杀手”。
具体而言,如果一个U盘连接到一台被感染的计算机,木马的副本会被悄悄地安装在可移动驱动器上。恶意软件会列出驱动器上的所有目录,然后将特洛伊木马的副本隐藏在根驱动器目录中。
最终,将目录属性改为“隐藏”,当受害者试图访问目录时,它会使用伪造的Windows直接图标来诱使受害者单击并执行有效负载。
网络战与实战明暗交织
APT攻击已成大国实战御用武器
正所谓“挽弓当挽强,用箭当用长。”高手过招若无过硬之武器,何以独占鳌头?反观网络世界之对抗亦是如此。
而更为有意思的是,这个几乎沉积四年之久的APT组织,每一次“回归”似乎都与大国博弈的时局有着千丝万缕的关系。
2016年2月,“透明部落”首次被ProofPoint的研究人员发现,向印度驻沙特阿拉伯和哈萨克斯坦使馆的外交官和军事人员发起攻击;
时隔四年之后,2020年2月,“透明部落”针对印度所有参与DSOP FUND(国防服务官员公积金)的军方人员展开了系列间谍活动;
紧接着在今年3月,“透明部落”又针对印度、阿富汗等国家和克什米尔地区展开网络攻击;
据外媒报道,截止目前,研究人员已调查发现,“透明部落”已经在27个国家“瞄准”1093个目标,其中受影响最大的是阿富汗、德国、印度、伊朗和巴基斯坦等国家。尤其在近期,该组织又将重点转移到阿富汗。
如果,单纯看网络攻击,似乎没有什么奇怪点。但对照上述网络战攻击的时间线,我们发现网空战场之外,实则夹杂着的正是一场场实战的较量。
2016年2月,印度与巴基斯坦爆发了两国停火以来的最大冲突,印军对巴基斯坦境内实施堪称“外科手术式”的军事打击;
今年年初,印度数次向巴基斯坦发起突然袭击,甚至抛停火协议于不顾,摧毁巴基斯坦修建的一线碉堡工事;
时至今年7月,巴基斯坦与阿富汗的冲突更是源源不断。巴基斯坦炮击阿富汗边境,阿富汗方欲动员空军和特种兵赶往战场。
当“透明部落”展开攻击活动的各节点皆与巴基斯坦遭遇实战冲突的时间基本相吻合时,军事实战的升维也必然带动着网络世界的“炮火强攻”的论断,就再一次得到验证。
在大国博弈、实网攻防面前,“透明部落”军火持续性迭代升级的原因也更加一目了然。
智 库 时 评
当前,大国博弈、国际局势变化本就莫测。
然而,作为网空博弈的“御用武器”——高阶持续性威胁APT组织却仍在打磨自身武器、不断进化升级,这让本就易攻难防、攻防不对称性急剧加大,守护网空世界、守护整个世界和平安宁的使命更加维艰。
在此环境之下,强化打磨并落地自身网络实网攻防实力显得越发重要。
因为你的对手,从未曾止步不前。
参考链接:
Threatpost——《透明部落对军队、政府发起持续的间谍活动》