昨天我們瞭解到中國紅客聯盟在官網對印度APT黑客組織發出警告。最近,小文看了一篇自媒體文章說發起攻擊的印度黑客組織是Patchwork。
那麼對中國發起進攻的黑客組織真的是Patchwork嗎?
中國紅客聯盟官網首頁
其實,截止到今天,印度APT黑客的進攻攔截者360安全大腦都沒有明確指出進攻的APT黑客組織是哪一個,僅僅只是得出了部分進攻者的信息。
360安全大腦核心能力
該攻擊組織來自印度,採用魚叉式釣魚攻擊方式,通過郵件進行投遞,利用當前肺炎疫情等相關題材作為誘餌文檔,進而通過相關提示誘導受害者執行宏命令。
360安全大腦得到的有用信息有:
1. 該進攻組織來自印度。
2. 該進攻組織採用的進攻方式為魚叉式釣魚攻擊。
而在印度或印度附近比較有名的APT黑客組織有Patchwork、SideWinder(響尾蛇)、BITTER(蔓靈花)、白象、Donot 等。
這些APT黑客組織除了發送用於傳播惡意軟件的誘餌文檔之外,還會利用其電子郵件中的獨特跟蹤鏈接,以識別都有哪些收件人打開了電子郵件。
其中嫌疑比較大的有:
蔓靈花(T-APT-17、BITTER)APT組織,該組織是一個長期針對中國、巴基斯坦等國家進行攻擊活動的APT組織,該APT組織為目前活躍的針對境內目標進行攻擊的境外APT組織之一。該組織主要針對政府、軍工業、電力、核等單位進行攻擊,竊取敏感資料,具有強烈的政治背景。該組織最早在2016由美國安全公司Forcepoint進行了披露,並且命名為"BITTER",同年國內360也跟進發布了分析報告,命名為"蔓靈花"。
Patchwork 又被稱為 Dropping Elephant,該組織以中國相關主題作為誘餌,比如中國南海問題,進而對目標的網絡進行攻擊。Patchwork 組織的攻擊目標遍佈世界各地,儘管超過半數的攻擊仍集中在美國,但中國、日本、東南亞、英國和土耳其同樣受到該組織的攻擊。
由於該組織所發起的攻擊,主要針對的是比較機密的數據而不是為了獲利,所以趨勢科技認為此組織應該屬於間諜組織。最初,Patchwork 組織的目標多是政府或與政府有間接聯繫的機構。但隨後,該組織擴大目標範圍,將更多行業企業作為攻擊目標。 目前Patchwork的主要攻擊對象依然是公共部門。
早在 2018 年,美國安全事件處理公司 Volexity 就指出,其安全團隊在同年 3 月和 4 月發現了多起魚叉式網絡釣魚攻擊活動,而這些活動都被認為是由印度 APT 黑客組織"Patchwork"發起的。
但相較於patchwork,蔓靈花對中國的進攻次數更多,危害性更大。
也就是說,僅僅是Patchwork黑客組織的進攻方式和此次利用疫情攻擊中國的APT黑客組織的攻擊方式比較相似而已,不排除有其他組織惡意扮演"Patchwork"角色以挑撥關係或其他組織採用與Patchwork相同的攻擊方式的可能性,因此並不能完全確定此次的進攻組織就是Patchwork組織。
正如上文分析,Patchwork更像一個間諜組織,而蔓靈花則有著強大的政治背景,因此無論是哪一個組織對中國發起的進攻,其背後都極有可能有著印度政府的授意。這也是中國紅客聯盟在發佈公告時說的是 不排除對"印度或印度黑客組織"發起進攻的可能性 的原因。
中國紅客聯盟對印度的警告
- 關注我,帶你瞭解更多消息!
- 明天帶你瞭解,紅盟是否發起了反擊?反擊過程或結果為什麼不公佈?
閱讀更多 中國小文 的文章
