据外媒报道,美国网络安全公司Cylance于本周一揭露了一场以巴基斯坦空军成员为目标的网络间谍活动。它的代号为“沙欣行动(Operation Shaheen)”,疑似由某个国家黑客组织发起。
根据Cylance公司安全专家的说法,他们将这个黑客组织追踪为“白衣公司(White Company)”,拥有一群可以利用零日漏洞的开发人员。
“我们的初步调查结果报告详细描述了该组织在最近实施的一次行动,一场针对巴基斯坦空军的间谍活动,持续了整整一年的时间。Cylance将这场活动命名为“沙欣行动”,并将该组织命名为“白衣公司”。该组织为掩盖其活动痕迹以及逃避追查,采取了许多经过精心筹划的措施。”Cylance在其发布的新闻稿中写道。
“巴基斯坦空军不仅是该国国家安全机构(包括核武器计划)不可分割的一部分,而且也是该国新近宣布的国家网络安全中心的所在地。一次针对这样一个目标的间谍行动的成功,能够使得国外势力在重大战术和战略洞察力方面占领先机。”
作为“沙欣行动”的一部分,“白衣公司”的黑客针对巴基斯坦空军成员实施了鱼叉式网络钓鱼攻击,诱饵文件的命名参考了一些大事件、政府文件,以及目标可能感兴趣的新闻文章(如巴基斯坦空军、巴基斯坦政府、中国驻巴基斯坦军事和顾问等)。
攻击者先后采取了两种不同的网络钓鱼攻击实施策略,最初使用的是带有指向受感染网站链接的电子邮件,之后切换为了使用以受感染Word文档作为附件的电子邮件。在这两种情况下,电子邮件都参考了与目标有关的主题。
“我们无法准确地说出这些文件的去向,也无法确定哪些文件最终取得了成功。但是,我们可以很肯定地说,巴基斯坦空军是主要目标。这一点从钓鱼电子邮件采用的命名、主题和内容的一致性,就可以很明显地看出来。”Cylance其新闻稿中继续写道。
“此外,正如我们描述的那样,由这些电子邮件所交付的恶意软件不仅均来自合法的、遭入侵的巴基斯坦机构的域名,并且这些遭入侵的巴基斯坦机构与巴基斯坦军方还存在明确的关联。”
值得注意的是,“白衣公司”的黑客所使用的恶意代码能够规避大多数主流杀毒软件的检测,包括Sophos、ESET、Kaspersky、BitDefender、Avira、Avast、AVG和Quickheal。另外,在这场间谍活动中被使用的恶意软件实现了至少五种不同的打包技术,为最终的有效载荷提供了极有效的保护。
Cylance公司的安全专家表示,想要将攻击归因于某个特定的黑客组织非常困难的,因为许多国家黑客组织都对针对巴基斯坦空军成员进行间谍活动抱有兴趣。
该公司在其新闻稿中写道:“巴基斯坦是一个处于动荡、拥有核武器的国家,同时也拥有着爆炸性的内部政治历史。它在地缘政治棋盘上的地位,使得它很容易成为所有那些拥有完善网络计划国家的目标。”