持續進階威脅(APT)之所以被稱為「進階」,是因為駭客運用了零時差漏洞,於企業網絡內進行持續滲透。這些威脅有著強烈的動機,且特別擅長隱匿行蹤。FireEye與新加坡電信(Singtel)早前即針對東南亞地區企業遭受先進網絡攻擊發布了相關報告。
報告顯示,今年上半年受觀察的東南亞企業中,29%的企業遭受有針對性的先進網絡攻擊。其中,以泰國和菲律賓企業所受網絡攻擊最為嚴重,比例分別為40%和39%。東南亞企業面臨針對性的網絡攻擊風險,比世界平均水平高45%;另一點值得關注的是,之前的六個月中,其風險只高出了7%。於持續進階威脅(APT)團體相關的惡意軟體檢測中,有超過三分之一的惡意軟體檢測源於娛樂、媒體和酒店業。通過瞄準媒體機構,這些威脅團體能在新聞發佈前獲得消息,並可能識別未披露的消息來源。FireEye檢測到至少有13個APT團體,正瞄準國家政府機構,至少4個APT團體正瞄準世界各地的地區政府。
網絡間諜活動頻繁
安全威脅情報是組織保持領先駭客組織的重要工具。該報告包含了東南亞網絡威脅環境最新發展動態的見解,比如針對著名機構來收集政治和經濟情報的團體,對已知網絡間諜活動的檢測,和威脅實施者為逃避檢測不斷發展的技術。
「間諜不是新事物,但網絡間諜日益增多,而東南亞是一個熱點。」FireEye亞太區日本總裁Eric Hoh表示,「政治可能會推動網絡攻擊。隨著東南亞在世界舞臺上發展成為一個更大的經濟成員,以及中國南海地區的緊張局勢,企業應對有針對性的攻擊做好準備。」
新加坡電信企業資料和管理服務部總經理William Woo則指出,該報告強調網絡攻擊的頻率和複雜性,這些攻擊針對東南亞各種各樣的行業和企業。因為東南亞的企業面臨被攻擊的風險,高於世界平均水平,他們迫切需要加強防範,以抵禦此類攻擊。由於APT攻擊通常是在平均205天後才被發現,企業需要採取先發制人的措施,比如採用網絡防禦管理服務來保障他們的資產、客戶和信譽。
國有銀行遭入侵
FireEye的安全威脅情報透露,東南亞某國有銀行檢測到惡意軟件警報,該惡意軟件名為炮灰(CANNONFODDER),最有可能被亞洲網絡威脅團體使用,以收集政治和經濟情報。2014年年底,FireEye檢測到來自亞洲的電信公司發出的惡意軟件警報。2014年中,該公司發現威脅者發送了包含惡意附件的魚叉式釣魚電子郵件,給亞洲區的政府員工。
此外,FireEye於本年4月發布了一份報告,當中記錄了被稱為APT30的持續進階威脅。團體針對東南亞企業、政府和記者進行了長達十年的網絡間諜行動。該團體的惡意軟件Lecna,在FireEye 2015年上半年東南亞客戶檢測中佔據了7%。另FireEye一直在追蹤一個獨特、相對隱蔽的團體正在進行的相關活動,並於2013年首次確定該團體名為APT.NineBlog。根據一些變造攻擊文檔的具體活動情況,該團體於2015年活動的目標之一,可能就是某個東南亞政府。該集團的惡意軟件使用了加密的SSL通訊以逃避檢測。此外,惡意軟件試圖檢測用於分析惡意軟件的特定應用程式,是否存在於系統,如果檢測到該程式,則惡意軟件將會自行停止運作。
沒有留言:
發佈留言