幽靈的威脅:針對石油運(yùn)輸船的黑客攻擊
責(zé)編:mhshi |2015-05-27 09:44:57近日,熊貓安全公司發(fā)布了一份關(guān)于針對石油運(yùn)輸船的黑客活動報(bào)告,該攻擊活動被稱為“幽靈的威脅”(The Phantom Menace)。熊貓安全公司稱對石油貨物的攻擊開始于2013年8月,2014年1月首次被發(fā)現(xiàn),攻擊者的主要目的是竊取機(jī)密信息以打擊石油公司。
攻擊分析
“幽靈的威脅”是一個高度復(fù)雜的攻擊活動,當(dāng)它第一次被發(fā)現(xiàn)沒有殺毒引擎能夠檢測到惡意代碼,攻擊者使用結(jié)合了一些自制攻擊工具,使他們能夠繞過防御措施。
攻擊活動的發(fā)現(xiàn)極其偶然,是在公司秘書打開了一個電子郵件附件后,專家們發(fā)現(xiàn)它的。研究人員發(fā)現(xiàn)十個石油和天然氣海上運(yùn)輸領(lǐng)域的公司都在使用相同的惡意代理。
“最初,這看起來就像一個普通的非針對性的攻擊。一旦我們進(jìn)一步挖掘,就發(fā)現(xiàn)很顯然,這是一個系統(tǒng)的,有針對性的對石油行業(yè)的特定領(lǐng)域的攻擊,如果受害公司愿意出面,我們可以限制這種潛在危險的網(wǎng)絡(luò)攻擊的影響”熊貓安全實(shí)驗(yàn)室技術(shù)總監(jiān)Luis Corrons解釋說
經(jīng)過初步調(diào)查,安全專家們發(fā)現(xiàn)惡意攻擊者在進(jìn)行活動的時候犯了很大的錯誤——“幽靈的威脅”使用FTP連接exfiltrate數(shù)據(jù)。這使得在分析黑客所使用的FTP連接后,就能識別出這個電子郵件的地址和負(fù)責(zé)的名稱。
經(jīng)過分析,攻擊者來自尼日利亞。在他們使用的免費(fèi)FTP服務(wù)登記表中,攻擊者提供的名字是“Ikeja”,Ikeja位于拉各斯郊區(qū),這個地方也被稱為“計(jì)算機(jī)村“,因?yàn)槟抢锸菄鴥?nèi)最大的技術(shù)產(chǎn)品市場。
當(dāng)然這些信息也可能是假的,但開賬戶的人一定熟悉這個名字,這意味著他們來自尼日利亞或非常了解這個國家。
尼日利亞騙局
研究人員在攻擊者的FTP服務(wù)器上發(fā)現(xiàn)存放了大量文件:80000個相關(guān)文件以及從其他公司竊取的登錄憑證。而且“幽靈的威脅”的目標(biāo)是公司的特定部門。研究人員推測“幽靈的威脅”是由尼日利亞分支犯罪團(tuán)伙操作的。
“尼日利亞詐騙行業(yè)非常豐盛,影響著各類行業(yè),其中就包括了石油工業(yè)。騙子接觸經(jīng)紀(jì)公司或中間商,高價為他們提供大致一兩百萬桶的BLCO(博尼輕質(zhì)原油)。如果有買家感興趣,他們會要求有書面證據(jù)證明該產(chǎn)品的存在。于是騙子會提供不同類型的證明,比如:質(zhì)量證書,原產(chǎn)地證書,貨物艙單。為了達(dá)成交易,買方必須提前支付從$50,000到$100,000不等的金額。然而,一旦他們付了錢他們都遇到這個問題——根本拿不到油!”
熊貓安全:希望受害者勇敢站出來
雖然熊貓安全已經(jīng)確定了攻擊者是誰,但目前卻沒有一個受害企業(yè)向警方報(bào)案。熊貓安全希望受害者能舉報(bào)并提供更多犯罪者信息。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國終止運(yùn)營:辦公地?zé)o人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!