一向以盜竊網絡情報為主要任務的中國網絡犯罪組織APT27,被網絡安全專家發現正向至少五間網上賭博公司發動勒索軟件攻擊,由販賣情報轉為直接勒索贖款。至於入侵途徑,專家指網絡罪犯透過賭博公司的第三方服務供應商的第三方服務供應商存在的漏洞,入侵途徑可謂相當轉折。
借助第三方服務供應商的第三方服務供應商存在的漏洞入侵,其實不難理解,近期最轟動的個案便是Solarwinds的Orion管理平台,其客戶如Microsoft、FireEyes、Cisco、Uber等公司的客戶,便是這類個案的受害者。站於經營角度,將部分服務外判未嘗不是更有效率的手法,但安全問題便隨之而來,只要這條服務供應鏈的任何一個成員出事便會攬炒。
這次由網絡安全公司Profero及Security Joe發表的聯合調查報告,其受害者便是被這種手法入侵。安全專家指出,五間網上賭博公司早前被勒索軟件(ransomware)攻擊,多個核心伺服器被加密無法使用。經專家分析該款惡意軟件(malware)樣本後,發現當中有不少證據顯示,這次攻擊與中國的網絡犯罪組織APT27有密切關係。其中一個證據是勒索軟件與一個盜取網絡情報活動DRBControl相連,該活動在另一網絡安全公司TrendMicro分析後,已指出是由APT27組織發動。另外,勒索軟件所利用的後門及程式碼,亦與APT27組織所採用的非常近似,專家指不論在攻擊策略、技術及執行過程方面均如出一轍,所以幾可肯定這次攻擊是由對方所發動。順帶一提,APT27所使用的漏洞,是一個於2017年已被公開的舊版本Google Updater漏洞,雖然相關漏洞早已有修補檔可堵塞,但明顯系統更新仍未被執行。
除了APT27轉型,早前網絡安全公司ClearSky亦發現,伊朗網絡犯罪組織Fox Kitten亦一改盜取情報的風格,同樣採用勒索軟件向其他國家的機構發動攻擊,莫非勒索軟件更有錢途?
