這份由FireEye研究員發布的《Ke3chang攻擊》網路間諜活動報告指出,攻擊者捏造敘利亞內戰的最新狀況來攻擊歐洲外交部的網路。FireEye研究員發現攻擊者可能位於中國以外的地區,而且自2010年便開始行動。不過,與敘利亞戰爭有關的歐洲外交部攻擊是於2013年8月才開始。攻擊時間是在商議敘利亞危機G20元首高峰會在俄羅斯舉辦之前1。
「外交單位,包括外交部,是今日威脅攻擊的主要目標,」FireEye威脅情報部門經理Darien Kindlund表示。「從大規模網路間諜活動可以看出,全球政府單位,包括大使館等,都很容易被鎖定目標並遭受網路攻擊。」
FireEye利用一個星期的時間,調查了23台Ke3chang攻擊者幕後操控的命令與控制伺服器(CnC)。在這段期間,FireEye發現有21台機器遭受這些CnC伺服器攻擊,包括攻擊者發動的三次測試以及其他惡意軟體研究單位的兩次連線。在這些攻擊中,FireEye發現九次針對歐洲五國政府單位發動的攻擊,其中八次是鎖定歐洲外交部。
當FireEye在調查CnC伺服器時,研究員發現攻擊者正在進行攻擊行動後的資料蒐集,並逐步在被攻擊的網路中擴散。因此,FireEye立即連絡相關單位,並發出通知。
[1] G20元首高峰會於2013年9月5至9日於聖彼得堡舉辦
|