赛门铁克发现一黑客团队Thrip,锁定一家卫星通讯业者,企图控制卫星通讯系统,并锁定3家东南亚的电信商及一家国防承包商。
赛门铁克(Symantec)本周揭露一名为Thrip的骇客集团,该集团使用中国境内的3台电脑骇进美国与东南亚的卫星通讯业者、电信业者与国防承包商,目的是为了拦截通讯。且Thrip还採用了不容易被侦测的「离地攻击」(living off the land)攻击手法,以藏踪匿迹并遮掩身分。
根据赛门铁克的追踪,Thrip攻击最令人担忧的应是它锁定了一家卫星通讯业者,且对该业者的操作细节特别感兴趣,企图感染执行卫星监控暨控制软体的电脑,令人怀疑骇客的目的不只是为了拦截通讯,可能还包括摧毁卫星通讯。另一个攻击目标则是涉及地理空间成像与绘製的组织,骇客亦对其操作端有浓厚兴趣。
Thrip团队还锁定了3家位于东南亚的电信营运商,以及一家国防承包商。
事实上,Thrip集团自2013年就藉由骇客攻击展开间谍行动,初期该集团仰赖的是客製化的恶意程式,但从去年以来的最近几波攻击已大规模改採「离地攻击」工具。
所谓的「离地攻击」是利用作业系统功能或合法的网路管理工具来入侵目标网路,企图把恶意行为隐身于合法的程序中。遭到骇客滥用的合法工具包括微软的PsExec系统工具、微软的脚本工具PowerShell、免费的权限变更工具Mimikatz、开源的FTP客户端WinSCP,以及远端存取软体LogMeIn等,当中除了Mimikatz的名声不佳之外,其它都是经常被使用的合法工具。
在使用上述合法工具入侵之后,骇客也会针对感兴趣的电脑部署客製化的恶意程式。
赛门铁克表示,目前看来间谍行为是Thrip集团最有可能的动机,但由于骇客也尝试危害业者的操作系统,不排除会採取更积极的破坏性行为。赛门铁克并未揭露遭Thrip锁定的组织名称。
閱讀更多 安全焦點 的文章
