幽靈的威脅:針對石油運輸船的黑客攻擊
責編:mhshi |2015-05-27 09:44:57近日,熊貓安全公司發布了一份關于針對石油運輸船的黑客活動報告,該攻擊活動被稱為“幽靈的威脅”(The Phantom Menace)。熊貓安全公司稱對石油貨物的攻擊開始于2013年8月,2014年1月首次被發現,攻擊者的主要目的是竊取機密信息以打擊石油公司。
攻擊分析
“幽靈的威脅”是一個高度復雜的攻擊活動,當它第一次被發現沒有殺毒引擎能夠檢測到惡意代碼,攻擊者使用結合了一些自制攻擊工具,使他們能夠繞過防御措施。
攻擊活動的發現極其偶然,是在公司秘書打開了一個電子郵件附件后,專家們發現它的。研究人員發現十個石油和天然氣海上運輸領域的公司都在使用相同的惡意代理。
“最初,這看起來就像一個普通的非針對性的攻擊。一旦我們進一步挖掘,就發現很顯然,這是一個系統的,有針對性的對石油行業的特定領域的攻擊,如果受害公司愿意出面,我們可以限制這種潛在危險的網絡攻擊的影響”熊貓安全實驗室技術總監Luis Corrons解釋說
經過初步調查,安全專家們發現惡意攻擊者在進行活動的時候犯了很大的錯誤——“幽靈的威脅”使用FTP連接exfiltrate數據。這使得在分析黑客所使用的FTP連接后,就能識別出這個電子郵件的地址和負責的名稱。
經過分析,攻擊者來自尼日利亞。在他們使用的免費FTP服務登記表中,攻擊者提供的名字是“Ikeja”,Ikeja位于拉各斯郊區,這個地方也被稱為“計算機村“,因為那里是國內最大的技術產品市場。
當然這些信息也可能是假的,但開賬戶的人一定熟悉這個名字,這意味著他們來自尼日利亞或非常了解這個國家。
尼日利亞騙局
研究人員在攻擊者的FTP服務器上發現存放了大量文件:80000個相關文件以及從其他公司竊取的登錄憑證。而且“幽靈的威脅”的目標是公司的特定部門。研究人員推測“幽靈的威脅”是由尼日利亞分支犯罪團伙操作的。
“尼日利亞詐騙行業非常豐盛,影響著各類行業,其中就包括了石油工業。騙子接觸經紀公司或中間商,高價為他們提供大致一兩百萬桶的BLCO(博尼輕質原油)。如果有買家感興趣,他們會要求有書面證據證明該產品的存在。于是騙子會提供不同類型的證明,比如:質量證書,原產地證書,貨物艙單。為了達成交易,買方必須提前支付從$50,000到$100,000不等的金額。然而,一旦他們付了錢他們都遇到這個問題——根本拿不到油!”
熊貓安全:希望受害者勇敢站出來
雖然熊貓安全已經確定了攻擊者是誰,但目前卻沒有一個受害企業向警方報案。熊貓安全希望受害者能舉報并提供更多犯罪者信息。