月初日本曾傳出因一名日本養老金系統的員工操作不當,使相關系統受到黑客攻擊,令約 125 萬份日本人個資被洩露,日本養老管理機構水島藤一郎當時召開緊急新聞發佈會,並於會上表示已組織團隊以查明事件,並會防止再次發生同類型事件。
而日本卡巴斯基就發現,對日本養老金系統發動攻擊的為專門針對日本的 APT 攻擊組織「藍白蟻 (Blue Termite)」,而其目標全針對日本機構:上至政府,下到學院,都無一倖免。
Blue Termite 只針對日本機構
日本卡巴斯基指,Blue Termite 對日本的攻擊非只針對養老金系統,目標同時包括日本政府、國防、航空業、重要基礎設施、財政金融、製造業與學術界等多個範疇。
而對雲端服務供應商的分析發現,逾 300 個網站受到 Blue Termite 的感染並散播惡意程式;而 Symantec 更認為,Blue Termite 或與黑客組織 CloudyOmega 有關。
是次外洩的訊息包括:基礎年金號碼、姓名、出生日期、住址,合共約 125 萬份。
據研究指,Blue Termite 慣用的攻擊方式為釣魚郵件,大部分郵件中都會附有名為「醫療保險通知」的 Word 文件:但事實上此「Word 文件」為可自動執行的壓縮文件,一旦受害者開啟此「Word 文件」,隱藏於其內部的惡意程式就會自動執行,並感染用戶的電腦,繼而與黑客的 C&C (Command & Conquer) 服務器進行連接,並開始竊取用戶資訊等行為。
一旦受害者與黑客成功建立 C&C,黑客首先會分析受害者電腦上的目錄與文件,並評估其數據的價值;若相關數據並沒有太大價值,攻擊就會停止;反之,黑客就會進一步的釋放一系列黑客工具,竊取用戶信息。上述黑客工具更可用於脅持電郵賬戶、瀏覽器等。
相信 Blue Termite 的 APT 攻擊與 CloudyOmega 的活動大概會陸續有來:但有趣的是,Blue Termite 現時只對日本展開攻擊,並未對其他的國家造成任何威脅。
Source:INTERNET Watch