在雷锋网之前所报道的黑客攻击中,航运业甚少出现,但近两年,它也成为了黑客眼中的一块大肥肉!
雷锋网发现,自去年以来,全球已发生多起因黑客攻击造成的大规模商业电子邮件泄密(BEC)事件,导致海上航运业损失了数百万美元。但现在,研究人员已经追踪到其背后的的黑客组织。
根据本周三(4月18日)RSA会议上发布的报告显示,黑客正在利用了海上航运行业网络安全漏洞、以及较为落后的计算机设备入侵航运系统。
来自Dell SecureWorks反网络威胁部门的研究人员发现,该商业电子邮件泄密黑客组织名叫Gold Galleon。研究人员推测,Gold Galleon专门针对航运业,并且在2017年6月至2018年1月之间窃取了至少390万美元。
Gold Galleon的攻击目标包括各种类型的海运组织,比如提供船舶管理服务的公司,港口服务公司和船长借支服务公司。Dell SecureWorks安全研究员James Bettke是该研究小组的负责人,他评价说:
“因为航运业务涉及全球范围、且跨布多个时区,涉业人员的沟通基本都是靠邮件——因此对于BEC诈骗小组来说,这就像一个“唾手可得”的诱人果实。”
Bettke在接受采访时表示:
“Gold Galleon 会以航运行业为攻击目标是有多方面原因的……因为从安全性缺失与有趣的文化层面角度来看,航运业地区是一个完美的攻击目标。一方面,许多非常小的航运公司并不担心安全问题——他们没有双重身份验证,并且运行的是Windows XP系统;另一方面,许多小航运公司正在开展国际贸易并主要依靠电子邮件进行通信,所以很难确定是否被人假冒。”
SecureWorks发现,Gold Galleon黑客组织应该至少有20名网络犯罪分子构成,他们可能位于尼日利亚。这些罪犯共同合作,实施BEC黑客攻击的各个部分——从最初的协议攻击到监控账户等。
根据SecureWorks的调查结果,Gold Galleon通过收集公开可用的联系信息(例如公司的网站)以及利用营销工具 BoxxerMail 或电子邮件提取器来从公司网站上获取电子邮件地址,进而识别目标攻击对象。
得以进入目标邮箱后,网络犯罪分子会通过一款名为 EmailPicky 的黑客工具,进一步获得收件人的联系人列表。
Gold Galleon使用带有恶意附件的鱼叉式网路钓鱼技术,达到犯罪目的。这些附件通常会包含一个带键盘记录功能和密码窃取功能的远程访问工具。
SecureWorks在他们的安全报告中提到:
“GOLD GALLEON 部署的工具包括 Predator Pain,PonyStealer,Agent Tesla,以及Hawkeye 键盘记录器,所有这些 GOLD GALLEON 使用的恶意软件都可以从线上黑客市场获得。”
一旦该黑客团体入侵了目标电子邮箱,该犯罪团伙的成员就能监控这个邮箱中正在进行的商务活动。
当付款细节通过发票的形式转发给买方时,黑客就会拦截卖方的电子邮件并将发票上的目标银行账户更改为他们自己的收款账户。
根据SecureWorks透露:“
为了在特定交易中模仿买家或卖家使骗术不易被识破,GOLD GALLEON和其他BEC小组会专门购买与买方或卖方公司名称非常相似的域名,他们将此称为“克隆”。
Bettke补充说道:
“该黑客组织使用一系列具有键盘记录功能和密码窃取功能的商品远程访问工具来窃取电子邮件帐户凭证。Gold Galleon的高级成员还会定期在他们自己的系统上测试恶意软件,并通过在线病毒扫描程序判断检测率。”
经过筛选该黑客组织的用户名和密码,SecureWorks怀疑Gold Galleon是尼日利亚的一个名为Buccaneer Confraternity或是National Association of Seadog的兄弟会组织。
Bucaneers Confraternity最初成立于尼日利亚,在该国支持人权运动。有报告表明,该群体中的一小部分可能正在从事犯罪活动。SecureWorks公司发现,为了躲避黑客攻击,一些有被攻击风险的公司开始实施双重身份验证,并检查企业电子邮件控制面板是否存在可疑的重定向规则。
Bettke说道:
“他们使用的恶意软件非常简单,我建议海事行业的公司采用双重身份验证和更强的账户管控措施,此外如果有人出于一些隐晦的要求需要更改账户,公司员工应该先通话确认而不是仅仅简单地以电子邮件进行沟通。”
雷锋网 VIA threatpost