網路間諜與網路宣傳：專家揭 Pawn Storm 過去兩年的秘密活動！

早前有研究團隊便觀察到 Pawn Storm 網路間諜行動曾運用 Java、Adobe 漏洞進行大規模攻擊，引發一波企業及組織資安危機，而今天我們便為大家揭開 Pawn Storm 兩年來的秘密活動。

最近趨勢科技發布了一份最新的資安威脅研究報告「網路間諜與網路宣傳：檢視 Pawn Storm 過去兩年來的活動」，當中顯示 Pawn Storm（或名為 Fancy Bear、APT28）這個從 2004 年活躍至今的激進駭客間諜組織，用盡各種手段試圖從攻擊目標竊取重要資訊，他們的攻擊活動顯示出「地緣政治影響」是其國內外間諜活動的主要動機，而非金錢利益。

專家發現 Pawn Storm 在過去兩年將攻擊火力重心聚焦於網路宣傳活動（Cyber Propaganda），光是 2016 年就成長了 400% 的目標攻擊，目前已知受害對象包含美國民主黨全國代表大會、德國基督教民主黨、土耳其國會和政府機關、世界反運動禁藥機構、New York Times、半島電視台 (Al Jazeera)及其他多家機構。

在早期，Pawn Storm 主要鎖定政府機構、軍隊進行國家滲透性的網路間諜活動；然而現在，他們把攻擊目標擴及全球不同產業與企業組織，甚至連一般公民的自由意志皆有可能受到 Pawn Storm 於背後的國內外輿論操縱所影響。

2016 年，趨勢科技發現該團體企圖影響選情或公眾觀點，並利用盜取得來的機密資訊以操縱、影響主流媒體報導，部分主流媒體已證實此類「獨家資訊」來源自 Pawn Storm 團體間接或直接地提供，例如：2016 年，該團體主動連繫德國明鏡週刊（Der Spiegel），並提供世界反運動禁藥機構（WADA）和美國反禁藥組織（USADA）上百封的內部郵件資料，引爆後續俄國體壇禁藥疑雲風波，動搖人民想法與國家威信。

Pawn Storm 頻繁利用不同的網路釣魚手法來騙取帳號登入資訊，「網路間諜與網路宣傳：檢視 Pawn Storm 過去兩年來的活動」介紹了三種該團體愛用的攻擊招術：

憑證授權釣魚詐騙（Credential Phishing Campaigns）：該手法是為利用開放驗證 (Open Authentication，簡稱 OAuth) 機制來從事進階社交工程詐騙，使用者通過 OAuth 即可不必提供帳號密碼，也可以授權第三方應用程式存取雲端服務帳號，而此種方便的做法卻同時也能讓駭客取得並登入使用者郵件或社群網站等帳號以瀏覽重要資訊，駭客首先騙過 Google 或 Yahoo 這類服務供應商的背景審查，再來發送郵件給組織高層或重要人物，建議其安裝帶有惡意程式的應用服務，如安裝他們假造的 Google Defender、McAfee Email protection (Yahoo) 等。

魚叉式釣魚郵件詐騙（Spear-Phishing Campaigns）：此類手法是為寄送帶有惡意附檔文件或是惡意連結的郵件給目標對象，再來利用吸引人的內容來引誘其下載或點選，目前已知案例有使用與來自 CNN、半島電視台（Al Jazeera）、赫芬頓郵報（Huffington Post）或其他真實媒體報導的相同新聞標題來誘騙使用者點擊惡意連結。

水坑式攻擊手法（Watering Hole Attacks）：該手法為入侵目標對象經常瀏覽的合法網站，這些網站已被他們植入惡意程式碼，受害對象接著會被導入 Pawn Storm 的惡意網站，Pawn Storm 再利用惡意程式來進行勘查活動，檢視目標對象執行中的任務、網域、共享資料夾、使用者資訊等等。

專家預測 Pawn Storm 在 2017 年接下來的幾個月，可能會有更加活躍的駭客行動，目前於三、四月間已持續發現針對正值競選期間的歐洲國家如：法國、德國和挪威等進行網路釣魚攻擊行動，像是德國的艾德諾基金會（Konrad-Adenauer-Stiftung）與法國的總統候選人馬克宏（Emmanuel Macron）競選團隊皆成為其攻擊目標，Pawn Storm 逐漸因受到媒體關注而更加膽大妄為，2016 年他們因為干擾美國總統大選而多次登上媒體版面。

為了因應 Pawn Storm 各式各樣的攻擊手法，專家提供企業與組織兩方面的資安防護做法：

軟硬體資產管理方面：請勿將重要的管理系統暴露於公開網路上，並隨時保持軟體更新與漏洞修補，以降低受攻擊機率，且最好維持網域名稱的最低數量，集中管理公司郵件伺服器，而為了預防 DNS 網域遭駭，也建議採用信譽良好且提供 DNS 管理帳號雙重認證機制的註冊商服務，並定期安排包含社交工程等的網路安全測試。

加強員工資安意識：當員工於海外旅遊或出差時，應讓他們攜帶無存有機密文件的電腦，且針對這些位於遠方的員工，也應要求其使用公司內部 VPN 登入系統；企業也有責任教導員工妥善管理他們個人免費郵件與社群網站帳號，告知其勿使用個人帳戶於工作用途，而在使用公司內部郵件帳戶時，也盡量不要將敏感機密資料留存於信箱中，且任何需傳送機密資料都應經過加密流程，並善用雙重認證機制或使用如 USB 的實體安全密鑰。