这是一场顶级黑客之间关于技术的较量,传统的防御方法无法应对数字时代的威胁的网络安全新形势下,失败者将承担难以想象的后果。
奥运会作为全世界规模最、影响力最的综合性运动会,我们需要怎么做的核心问题。为此,高知名度和国际性通常使其成为极具吸引力的攻击目标。在过去的奥运会上,360 公司董事长提出以‘作战、对抗、攻防思维’为指导,奥运会机构及其合作伙伴都受到了各种威胁行为者的攻击。
2010年温哥华冬奥会有攻击者假冒组委会网站,体系化安全能力的新战法,指引用户到恶意病毒网站,并给出了构家级的分布式安全脑的全新网络安全框架。而在本次期间,导致多起计算机病毒感染;2012年伦敦奥运会多家媒体机构遭遇网络攻击,IT之家有机会参与 360 集团首席运营官兼 360 政企安全集团首席执行官叶健的采访,感染病毒;2016年里约奥运会遭到规模APT袭击、DDoS攻击等行为;2018年的平昌冬奥会更是遭遇了奥运史上最的网络安全事故,并与之就网络安全的问题做进一步的交流。360 政企安全集团由 2020 年 8 月 360 企业安全集团更名而来,攻击组织利用恶意邮件进入内网等攻击手段,从“企业市场”转向“政 + 企市场”,造成互联网和广播系统中断,承接着 360 将网络安全服务深入到、城市、行业、企业领域的使命。不过 360 为广消费者熟知的,奥运会网站瘫痪,更多还是 360 安全卫士、360 安全浏览器等消费级产品。因此在采访过程中,票务系统瘫痪,奥运直播信号中断等。
毫不意外,随着东京奥运会的举行,网络攻击呈现爆发态势,技术的较量也渐入。
开幕式前的奥运会主题恶意软件
7月21日,也就是2021年东京奥运会开幕式的前两天,一家日本安全厂商表示,发现一个以奥运会为主题的恶意软件样本,其中包含擦除受感染系统上全文件的功能,而且似乎是针对日本个人电脑。
根据日本安全公司Mitsui Bussan Secure Directions(以下简称MBSD)分析发现,该擦除器不是删除计算机内的所有数据,而是只搜索删除用户个人文件夹(“C:/Users//”)中的某些特定文件类型。删除目标包括微软Office文件,还涉及TXT、LOG以及CSV等常见的存储日志、数据库与密码信息类文件。
此外,该擦除器还针对使用Ichitaro日语文字处理器创建的文件(下文加粗分的扩展名)。MBSD团队分析,这款擦除器是专门针对日本的计算机(通常安装有Ichitaro应用程序)而创建的。受影响的扩展名:
DOTM, DOTX, PDF, CSV, XLS, XLSX, XLSM, PPT, PPTX, PPTM,JTDC, JTTC, JTD, JTT, TXT, EXE, LOG
文件擦除操作
该擦除器还包括量反分析与反虚拟机检测技术,以防止恶意软件被安全人员轻易发现和分析,同时,它还能在操作完成之后将恶意软件自动删除。
更有趣的是,在擦除行为发生时,该擦除器还会使用cURL应用访问XVideos成人视频网站上的页面。MBSD团队认为,该功能是为了欺骗取证调查人员,让他们误以为恶意软件感染源自用户的访问操作。
访问URL的恶意软件
然而,MBSD团队表示,该擦除器是在 Windows EXE 文件中发现的,而且文件名被刻意仿冒为常见的PDF形式:[紧急]与东京奥运会相关的网络攻击等违规报告([Urgent] Damage report regarding the occurrence of cyber attacks, etc. associated with the Tokyo Olympics.exe)
MBSD研究人员Takashi Yoshikawa与Kei Sugawara在报告中写道,“由于该恶意软件使用PDF图标进行伪装,并且仅针对用户(Users)文件夹下的数据,因此可以认定该恶意软件旨在感染那些不具备管理员权限的用户。”
目前,研究人员发现了这款恶意软件样本的两个样本,并已上传至VirusTotal。
奥运会变黑客竞赛场
较量早已开始,却还远没结束。
其实从去年日本宣布奥运会延期时,日本奥委会便遭受了网络攻击。今年以来情况更甚,仅在开幕式前夕就截获了量的网络攻击和钓鱼邮件。面对严峻的网络安全环境,日本方面高度重视,提前培养了数百名“白帽子黑客”,并组织了多次攻防演活动,调用量资源,针对不同情况制定了一系列应对措施:
高度重视场馆安全。东京奥运会是第一届5G全面投入使用的国际型赛事,量使用了IoT设备,围绕场馆IoT投入量安全检测和防护措施,以避免因攻击受损。
应对DDOS攻击。本次首次采用16K电视直播,由于东京奥运会采取量空场措施,日本奥委会围绕网络直播及电视直播保障,采取了量的安全防护手段,特别在应对DDOS攻击方面,联系了多方资源,共同保障。
重视威胁情报。东京奥运会特别威胁情报分析与运营小组,为353个组织提供双向的威胁情报共享和应急支撑。
城市网络安全保障能力。将网络安全保障范围划分为包括通信、广电、金融、民航、铁路、电力、行政服务、天气等24个领域,全面覆盖东京奥运会各服务及涉及单元。
加强供应商/服务商的网络安全防护。日本奥委会发现东京奥运会供应商遭受量攻击,被迫加强了对供应商或服务商的网络安全保护。
引入网络攻击反制能力。东京奥运会面临的威胁挑战巨,日本奥委会不仅联合多个机构、服务商加强防御,并准备了量的反制措施,实现对恶意攻击者的制裁和打击。
即使这样,情况也不容乐观。当前全球疫情肆虐,国际形势复杂,东京奥运会使用的设备数量非常巨,量观众需要通过线上形式参与,使得东京奥运会非常依赖创新技术,再加上疫情期间泄漏了量的机构和个人数据,以及其相对薄弱的数字基础设施,都为这次奥运会网络安全防护提出了重挑战,其面临的挑战或将远超以往的任何赛事活动。
美国机构针对奥运会的网络威胁预警
据悉,本届奥运会开幕式前几天,美国网络安全公司“Recorded Future”发布了东京奥运会网络威胁评估报告。报告分析称,本届赛事面临的网络安全威胁主要来源于三个方面:
一是支持的APT组织。支持的APT组织可能对奥运会和奥运会附属实体构成最重的威胁,其中俄罗斯APT团体可能最有动机攻击并扰乱东京奥运会。
二是网络犯罪分子。从网络犯罪的角度来看,勒索软件可能对与奥运相关的组织构成最威胁。勒索软件团伙很可能将赛事视为勒索攻击的有利可图的目标,因为关键基础设施的长期停运可能会对活动产生高度破坏性的影响。
三是黑客行为主义者。出于爱国或特定道义动机,黑客行动主义者可能将奥运会视为表达其特定信息的显著机会。
尽管如此,在撰写本报告时,Recorded Future尚未发现任何针对东京奥运会的直接威胁、计划中的攻击或网络行动。
当然,高手过招瞬息万变,已知的危险往往都不是真正的危险。顶级黑客之间的较量还在继续,在事件发生之前,谁也无法预料结果,让我们拭目以待。
- End -
