在雷鋒網之前所報導的駭客攻擊中, 航運業甚少出現, 但近兩年, 它也成為了駭客眼中的一塊大肥肉!
雷鋒網發現, 自去年以來,
根據本週三(4月18日)RSA會議上發佈的報告顯示, 駭客正在利用了海上航運行業網路安全性漏洞、以及較為落後的電腦設備入侵航運系統。
來自Dell SecureWorks反網路威脅部門的研究人員發現, 該商業電子郵件洩密駭客組織名叫Gold Galleon。 研究人員推測, Gold Galleon專門針對航運業, 並且在2017年6月至2018年1月之間竊取了至少390萬美元。
Gold Galleon的攻擊目標包括各種類型的海運組織, 比如提供船舶管理服務的公司, 港口服務公司和船長借支服務公司。 Dell SecureWorks安全研究員James Bettke是該研究小組的負責人, 他評價說:
“因為航運業務涉及全球範圍、且跨布多個時區,
Bettke在接受採訪時表示:
“Gold Galleon 會以航運行業為攻擊目標是有多方面原因的……因為從安全性缺失與有趣的文化層面角度來看, 航運業地區是一個完美的攻擊目標。 一方面, 許多非常小的航運公司並不擔心安全問題——他們沒有雙重身份驗證, 並且運行的是Windows XP系統;另一方面, 許多小航運公司正在開展國際貿易並主要依靠電子郵件進行通信, 所以很難確定是否被人假冒。 ”
SecureWorks發現, Gold Galleon駭客組織應該至少有20名網路犯罪分子構成, 他們可能位於奈及利亞。 這些罪犯共同合作, 實施BEC駭客攻擊的各個部分——從最初的協定攻擊到監控帳戶等。
根據SecureWorks的調查結果, Gold Galleon通過收集公開可用的聯繫資訊(例如公司的網站)以及利用行銷工具 BoxxerMail 或電子郵件提取器來從公司網站上獲取電子郵寄地址, 進而識別目標攻擊物件。
得以進入目標郵箱後, 網路犯罪分子會通過一款名為 EmailPicky 的駭客工具, 進一步獲得收件人的連絡人列表。
Gold Galleon使用帶有惡意附件的魚叉式網路釣魚技術, 達到犯罪目的。 這些附件通常會包含一個帶鍵盤記錄功能和密碼竊取功能的遠端存取工具。
SecureWorks在他們的安全報告中提到:
“GOLD GALLEON 部署的工具包括 Predator Pain, PonyStealer, Agent Tesla, 以及Hawkeye 鍵盤記錄器, 所有這些 GOLD GALLEON 使用的惡意軟體都可以從線上駭客市場獲得。 ”
一旦該駭客團體入侵了目標電子郵箱, 該犯罪團夥的成員就能監控這個郵箱中正在進行的商務活動。
當付款細節通過發票的形式轉發給買方時, 駭客就會攔截賣方的電子郵件並將發票上的目標銀行帳戶更改為他們自己的收款帳戶。
根據SecureWorks透露:“
Bettke補充說道:
“該駭客組織使用一系列具有鍵盤記錄功能和密碼竊取功能的商品遠端存取工具來竊取電子郵件帳戶憑證。 Gold Galleon的高級成員還會定期在他們自己的系統上測試惡意軟體, 並通過線上病毒掃描程式判斷檢測率。 ”
經過篩選該駭客組織的用戶名和密碼, SecureWorks懷疑Gold Galleon是奈及利亞的一個名為Buccaneer Confraternity或是National Association of Seadog的兄弟會組織。
Bucaneers Confraternity最初成立於奈及利亞, 在該國支持人權運動。 有報告表明, 該群體中的一小部分可能正在從事犯罪活動。 SecureWorks公司發現, 為了躲避駭客攻擊,
Bettke說道:
“他們使用的惡意軟體非常簡單, 我建議海事行業的公司採用雙重身份驗證和更強的帳戶管控措施, 此外如果有人出於一些隱晦的要求需要更改帳戶, 公司員工應該先通話確認而不是僅僅簡單地以電子郵件進行溝通。 ”
雷鋒網 VIA threatpost