代号“沙尘暴”：黑客剑指日本关键基础设施

近日，安全公司Cylance公开了一个针对日本商业和关键基础设施，代号“沙尘暴”行动的黑客活动。“沙尘暴”行动幕后之手至少从2010年起已开始活动，黑客已把日本、韩国、美国和其他亚洲国家的几个组织作为了攻击目标。

黑客组织资金充足

专家相信此是资金充足的专业组织所为， 且有些情况导致研究者猜测或有国家组织的参与。

Cylance研究员揭露幕后之手从2015年开始集中精力于日本组织机构，他们的黑客攻陷了日本电力、石油和天然气，交通运输，财政和建筑行业等组织机构的网络。

受害者列表中含有一家汽车制造商，一家韩国电力公司的日本子公司，以及石油天然气公司。

“水坑”和“鱼叉钓鱼”式攻击的习惯，展现了这些黑客的“军火库”中独立后门和零日漏洞是多么有效。在2015年五月实施的大量攻击中，针对韩国和日本目标，此组织还使用了几种安卓后门。

得益于“沙尘暴”行动幕后组织发动的这些攻击不够复杂。在2011年，当其黑客依靠Adobe Flash Player(CVE-2011-0611) 和Internet Explorer(CVE-2011-1255) 零日漏洞来传播Misdat后门的一个变种时，研究员注意上了这个组织。

“尽管此组织增加了一些其主要后门针对亚洲攻击的突出程度，此次威胁在2010年期间几乎没有什么公开信息可以获取。”Cylance 发布的报告中陈述到，“直到2011年，从一系列的攻击中撬出一个以建立目标网络据点为目标的Internet Explorer 8 的无补丁漏洞，CVE-2011-1255，“沙尘暴”行动开始浮出水面。”

以往记录

2011年10月， 黑客以收集穆阿迈尔·卡扎菲死后带来的利比亚危机的相关情报为目标。在2012年，此组织祭出了 Internet Explorer 零日漏洞 (CVE-2012-1889)来配合其网络间谍活动。

Cylance 的专家注意到在2013年3月， “沙尘暴”行动活动锐减，恰逢Mandiant的代号为APT1的中国APT组织分析报告发布之后……

在2014年2月，“沙尘暴”行动幕后组织再现， 启动了一系列攻击，祭出了新的Internet Explorer零日漏洞(CVE-2014-0322) 来用于水坑攻击。

Cylance 的研究员坚信， 针对日本关键基础设施的攻击将会快速增长。

“无论如何，我们相信针对日本关键基础设施和能源公司的特性攻击不会间断，并且很有可能持续至将来逐步升级扩大。”Cylance总结道。