近日,據 360 安全大腦披露,多達 174 家北京、上海政府機構和中國駐外機構遭受老牌高級持續性威脅(APT)黑客組織 DarkHotel 攻擊。黑客通過非法手段控制部分深信服(一家專注於企業級安全、雲計算及 IT 基礎設施的產品和服務供應商)SSL VPN 設備,並利用客戶端升級漏洞下發惡意文件到客戶端,從而對用戶構成安全威脅。
360 安全大腦表示,黑客目前已經完全控制大量相關單位的 VPN 服務器,並將 VPN 服務器上的關鍵升級程序替換為後門程序。對於 VPN 用戶來說,一旦登錄成功,就會被完全授信。因此,“可以說,攻擊者已經控制了大量相關單位的計算機終端設備。”
VPN 是一種利用公共網絡支持多個分支機構或用戶之間的安全通信橋樑,遠程用戶可以通過 VPN 隧道穿透企業網絡邊界、訪問企業內部資源,保證他們即使不在企業內部也能享有本地的訪問權限。
自今年 3 月以來,被該黑客組織攻擊的 VPN 服務器已經超過 200 臺,中國在美國、意大利、英國等 19 個國家的駐外機構都遭到了攻擊。進入 4 月,黑客將攻擊態勢轉向北京、上海相關政府機構,目前涉及機構數量高達 174 家。
被攻擊的 174 家北京、上海政府機構名單(來源:360 核心安全技術博客)
儘管已有上百家政府機構遭到攻擊,但對我們個人來說,是否存在安全隱患?目前來看,還不會。
“此次攻擊事件主要影響北京和上海地區,相關的單位已經在自查,廠商已經配合進行了安全應急響應。由於廠商和安全公司的應急響應及時,暫不會威脅個人的信息安全。” 360 安全專家告訴 DeepTech,“此次黑客攻擊針對 Windows 操作系統,對 macOS 操作系統暫無影響。”
竟與新冠疫情有關?
自新冠疫情暴發以來,國家企事業單位、駐外機構和科技公司等紛紛採取 “雲辦公” 模式,而遠程辦公能夠實現的核心是 VPN,大量的員工都會通過 VPN 與總部建立聯繫、傳輸數據。一旦 VPN 漏洞被黑客利用,使用 VPN 遠程辦公的相關單位就會遭受重大安全危機。
360 安全大腦相關人員推測,DarkHotel 此次發動的黑客攻擊或意圖掌握我國在抗擊新冠肺炎疫情期間的先進醫療技術和救疫措施,通過駐外機構動態進一步探究世界各國的疫情真實情況及數據,通過攻擊中國駐外機構來掌握中國向世界各國輸送救疫物資的運輸軌跡、數量、設備。
“有一些被攻擊的機構參與了一線的疫情防控”,在新冠疫情期間相關企事業單位大部分都是遠程辦公狀態,黑客攻擊的正是相關單位遠程辦公的核心基礎設施,即 VPN 服務器。” 360 安全專家告訴 DeepTech。
研究人員在相關漏洞分析中表示,其中一臺深信服被攻擊的 VPN 服務器版本為 M6.3R1,該版本發行於 2014 年,由於版本過於老舊,存在大量安全漏洞。同時該相關單位的運維開發人員的安全意識不強,為了工作便利,將所維護的客戶的敏感信息保存在工作頁上。“正是因為關鍵基礎設施的安全漏洞和相關人員的薄弱安全意識,才導致了 VPN 服務器被黑客攻破。”
黑客攻擊細節
在此次攻擊中,360 安全大腦發現,上述相關單位的用戶在使用 VPN 客戶端時,默認觸發的升級過程被 DarkHotel 黑客劫持,將升級程序替換並植入後門程序。攻擊者模仿正常程序對後門程序進行了簽名偽裝,普通人根本難以察覺。
完整攻擊流程:1)啟動 VPN;2)請求服務器更新;3)下發被替換的升級服務;4)在客戶機中運行(來源:360 核心安全技術博客)
在對攻擊活動的還原分析中,360 安全大腦發現此次攻擊活動是深信服 VPN 客戶端中深藏的一個漏洞被 DarkHotel 黑客所利用,該漏洞存在於 VPN 客戶端啟動連接服務器時默認觸發的一個升級行為,當用戶使用啟動 VPN 客戶端連接 VPN 服務器時,客戶端會從所連接的 VPN 服務器上固定位置的配置文件獲取升級信息。但是,在整個升級過程,客戶端僅對更新程序做了簡單的版本對比,沒有做任何的安全檢查。
偽造簽名(左)與正常簽名(右)(來源:360 核心安全技術博客)
這就導致黑客攻破 VPN 服務器後篡改升級配置文件並替換升級程序,從而利用此漏洞針對 VPN 用戶定向散播後門程序。
DarkHotel 是一個有著東亞背景,長期針對企業高管、政府機構、國防工業、電子工業等重要機構實施網絡間諜攻擊活動的 APT 組織,自 2004 年以來一直在進行網絡間諜活動,是近幾年來最活躍的 APT 組織之一,主要攻擊目標為電子行業、通信行業的企業高管及有關國家政要人物,其攻擊範圍遍佈中國、朝鮮、日本、緬甸、俄羅斯等多個國家。
上個月,DarkHotel 通過釣魚和垃圾郵件攻擊了世界衛生組織(WHO)。黑客通過一個仿冒的 WHO 內部電子郵件系統服務器對內部人員進行釣魚攻擊,誘使員工登錄該電子郵件系統,從而盜取他們的電子郵箱密碼;在盜取電子郵件密碼之後,黑客仿冒 WHO 的內部人員對組織內部發送垃圾郵件,欺騙其他內部人員下載安裝竊密木馬,從而盜取更多人的信息。
此外,這也並不是 DarkHotel 首次對中國發動攻擊。今年 1 月,在 Windows 7 系統停服關鍵節點,DarkHotel 同時利用 IE 瀏覽器和火狐瀏覽器 “雙星” 0day 漏洞,針對中國重點省份商貿相關的政府、企業及相關機構發起複合攻擊。
深信服的回應
4 月 7 日,深信服針對此次黑客攻擊事件做出回應稱,本次漏洞為 SSL VPN 設備 Windows 客戶端升級模塊簽名驗證機制的缺陷,但該漏洞利用前提是必須已經獲取控制 SSL VPN 設備的權限,因此利用難度較高。“初步預估,受影響的 VPN 設備數量有限。”
但 360 安全專家對 DeepTech 表示,“本次漏洞並不是利用難度和受影響設備數量的問題”,由於漏洞存在於 Windows 客戶端中,如果用戶不升級 VPN 客戶端程序,就一直會有被攻擊的風險,用戶也無法判斷 VPN 服務器是否安全。因此,廠商一方面要推進修復 VPN 服務器已經存在的安全漏洞,更重要的是提醒用戶升級存在安全漏洞的 VPN 客戶端程序。
對此,深信服表示,公司目前針對已確認遭受攻擊的 SSL VPN 設備版本(M6.3R1 版本、M6.1 版本)發佈了緊急修復補丁,安排技術服務人員為受影響用戶上門排查與修復,公司也將發佈 SSL VPN 設備篡改檢測腳本,方便用戶自行檢測設備是否被篡改及是否需要修復補丁。
此外,深信服還將為用戶提供 SSL VPN 設備主要標準版本修復補丁,以及發佈惡意文件的專殺工具。
“在日常生活和工作中,用戶提高安全意識,不要隨便連接不受信任的 VPN 服務器,同時時刻開啟安全軟件的實時保護,預防可能出現的攻擊。” 360 安全專家說。
聲明: 本公眾號致力於好文推送(歡迎投稿),版權歸屬原作者所有!分享只為傳遞更多信息,並不代表本本公眾號贊同其觀點。如涉及作品內容、版權和其他問題,請及時通過電子郵件或電話通知我們,以便迅速採取適當措施,避免給雙方造成不必要的經濟損失。聯繫電話:010-82306116;郵箱:[email protected]。
閱讀更多 電子技術應用 的文章
