导语:安全公司Cylance发现了一项复杂的针对巴基斯坦空军的攻击行动Shaheen,该行动背后有国家支持。

根据安全专家的说法,该行动是由一个被称为White Company的民族国家攻击组织进行的,该组织拥有0 day漏洞及利用开发人员。

来自Cylance发布的新闻稿(press release )表明,

初步调查结果详细介绍了该组织最近开展的一项行动,为期一年的针对巴基斯坦空军(Pakistani Air Force)的间谍活动。Cylance将此行动称为Shaheen,由White Company组织。 该组织为粉饰其活动的所有迹象并逃避归属采取了许多精心策略。

巴基斯坦空军不仅是该国国家安全机构不可分割的一部分(包括其核武器计划),而且它也是最近宣布的国家网络安全中心的所在地。所以针对这一目标的间谍行动如果成功,可以为一系列外国势力带来重要的战术和战略洞察力。

作为Shaheen行动的一部分,White Company的黑客以巴基斯坦空军的成员为目标,使用鱼叉式网络钓鱼信息,武器化其诱饵文件,文件名参考目标感兴趣的事件、政府文件或新闻文章(比如巴基斯坦空军,巴基斯坦政府,中国驻巴基斯坦军事和顾问等)。

攻击者最初使用链接到受感染网站的网络钓鱼邮件,之后使用受感染的Word文档作为电子邮件的附件。

研究人员发现,在这两种情况下,邮件主题都与目标有关,比如,巴基斯坦空军、巴基斯坦政府以及巴基斯坦的中国军队和顾问。

Cylance发表的报告继续说道,

我们不能准确的说出这些文件的去向,或哪些是成功的。但是,我们可以肯定的是巴基斯坦空军是主要目标。因为文件名中所表达的首要主题,诱饵文件的内容以及军事主题诱饵所采用的特殊性,都体现了这一点。

此外,正如下面所解释的那样,这些诱饵所分发的恶意软件不仅来自合法的、受到感染的巴基斯坦机构的域名,而且这些机构与巴基斯坦军方有明确关系。攻击者使用了常见的策略,使目标可能观察到的任何流量似乎都是良性的。

White Company黑客使用的恶意代码能够躲避主要的防病毒解决方案,包括Sophos,ESET,Kaspersky,BitDefender,Avira,Avast,AVG和Quickheal。

该行动中使用的恶意软件实现了五层不同的加壳技术,将最终的有效载荷置于一系列层中。

对特定攻击者的溯源非常困难,各种各样的民族国家攻击者都有兴趣监视巴基斯坦空军。

该公司总结道,

出于若干原因,Cylance并不准备将攻击或行动归结为特定实体,原则上是这样。在这种情况下,这种方法尤其谨慎。有问题的威胁行为者煞费苦心的逃避归因。他们拼凑了由几个不同的开发人员创建的工具,其中一些开发人员采取措施来掩盖其踪迹。这些努力使得幕后人员的整体情况更加复杂化。

巴基斯坦是一个动荡的、拥有核武器的国家,有着复杂的内部政治历史。他们在地缘政治上的地位使他们成为所有拥有完善网络计划国家(即五眼,中国,俄罗斯,伊朗,朝鲜,以色列)的明显目标,它们也引起了印度和海湾国家等新兴网络大国的关注。

其余细节参见专家发布的报告(report )。

源链接

Hacking more

...