一度攻擊平昌冬奧伺服器的黑客「Olympic Destroyer」在作案之後似乎消聲匿跡,不過近日已經靜悄悄地回歸,卡巴斯基實驗室的專家發現有相似的活動,不過目標轉為俄羅斯的金融機構,以及荷蘭、德國、法國、瑞士和烏克蘭等國的生物化學威脅預防實驗室。
轉換新攻擊載具
原本的 Olympic Destroyer」使用非常精密的方法進行偽裝,首先利用具有說服力的誘餌文件暗藏惡意程式,使用模糊化的手法逃避保安方案的偵測,最特別之處是利用大量虛假標誌令分析變得更加困難。在新的攻擊中採用了新式的魚叉式釣魚文件能夠有效載有類似 Olympic Destroyer 的工具,雖然現時沒有蠕蟲的跡象,但是根據觀察,現時的文件可能只在偵察階段,情況就像 2017 年攻擊前的偵察階段一樣。
新目標對象
Olympic Destroyer 很多行為都與以前一樣,唯有目標對象就是全新的單位,透過分析誘餌電郵的內容,犯罪份子正試圖滲透生物化學威脅預防實驗室,雖然他們的新目標也包括俄羅斯的金融機構,但是很有可能只是掩飾。除了模糊腳本,在文件中還含有「Spiez Convergence」(在瑞士舉行的生化威脅研究員會議) 的資料,當中與推斷 Sergei Skripal 父女在英國被神經病毒劑毒害的事件有關。
度身訂造防不勝防
過往我們提到網絡釣魚攻擊時,都提醒用戶不要打開可疑的文件,但是在這個個案中未必有效,因為文件並不可疑!網絡罪犯使用的精心製作魚叉式釣魚攻擊相關的文件,令用戶防不勝防。用戶除了安裝可靠的保安方案以外,位於歐洲的生化威脅預防和相關研究機構,也應該進行不定期的安全審計,進行保安突擊檢查。
