近日,熊猫安全公司发布了一份关于针对石油运输船的黑客活动报告,该攻击活动被称为“幽灵的威胁”(The Phantom Menace)。熊猫安全公司称对石油货物的攻击开始于2013年8月,2014年1月首次被发现,攻击者的主要目的是窃取机密信息以打击石油公司。
攻击分析
“幽灵的威胁”是一个高度复杂的攻击活动,当它第一次被发现没有杀毒引擎能够检测到恶意代码,攻击者使用结合了一些自制攻击工具,使他们能够绕过防御措施。
攻击活动的发现极其偶然,是在公司秘书打开了一个电子邮件附件后,专家们发现它的。研究人员发现十个石油和天然气海上运输领域的公司都在使用相同的恶意代理。
“最初,这看起来就像一个普通的非针对性的攻击。一旦我们进一步挖掘,就发现很显然,这是一个系统的,有针对性的对石油行业的特定领域的攻击,如果受害公司愿意出面,我们可以限制这种潜在危险的网络攻击的影响”熊猫安全实验室技术总监Luis Corrons解释说
经过初步调查,安全专家们发现恶意攻击者在进行活动的时候犯了很大的错误——“幽灵的威胁”使用FTP连接exfiltrate数据。这使得在分析黑客所使用的FTP连接后,就能识别出这个电子邮件的地址和负责的名称。
经过分析,攻击者来自尼日利亚。在他们使用的免费FTP服务登记表中,攻击者提供的名字是“Ikeja”,Ikeja位于拉各斯郊区,这个地方也被称为“计算机村“,因为那里是国内最大的技术产品市场。
当然这些信息也可能是假的,但开账户的人一定熟悉这个名字,这意味着他们来自尼日利亚或非常了解这个国家。
尼日利亚骗局
研究人员在攻击者的FTP服务器上发现存放了大量文件:80000个相关文件以及从其他公司窃取的登录凭证。而且“幽灵的威胁”的目标是公司的特定部门。研究人员推测“幽灵的威胁”是由尼日利亚分支犯罪团伙操作的。
“尼日利亚诈骗行业非常丰盛,影响着各类行业,其中就包括了石油工业。骗子接触经纪公司或中间商,高价为他们提供大致一两百万桶的BLCO(博尼轻质原油)。如果有买家感兴趣,他们会要求有书面证据证明该产品的存在。于是骗子会提供不同类型的证明,比如:质量证书,原产地证书,货物舱单。为了达成交易,买方必须提前支付从$50,000到$100,000不等的金额。然而,一旦他们付了钱他们都遇到这个问题——根本拿不到油!”
熊猫安全:希望受害者勇敢站出来
虽然熊猫安全已经确定了攻击者是谁,但目前却没有一个受害企业向警方报案。熊猫安全希望受害者能举报并提供更多犯罪者信息。