站长资讯网近日,据 360 安全大脑披露,多达 174 家北京、上海政府机构和中国驻外机构遭受老牌高级持续性威胁(APT)黑客组织 DarkHotel 攻击。黑客通过非法手段控制部分深信服(一家专注于企业级安全、云计算及 IT 基础设施的产品和服务供应商)SSL VPN 设备,并利用客户端升级漏洞下发恶意文件到客户端,从而对用户构成安全威胁。
360 安全大脑表示,黑客目前已经完全控制大量相关单位的 VPN 服务器,并将 VPN 服务器上的关键升级程序替换为后门程序。对于 VPN 用户来说,一旦登录成功,就会被完全授信。因此,“可以说,攻击者已经控制了大量相关单位的计算机终端设备。”
VPN 是一种利用公共网络支持多个分支机构或用户之间的安全通信桥梁,远程用户可以通过 VPN 隧道穿透企业网络边界、访问企业内部资源,保证他们即使不在企业内部也能享有本地的访问权限。
自今年 3 月以来,被该黑客组织攻击的 VPN 服务器已经超过 200 台,中国在美国、意大利、英国等 19 个国家的驻外机构都遭到了攻击。进入 4 月,黑客将攻击态势转向北京、上海相关政府机构,目前涉及机构数量高达 174 家。
图|被攻击的 174 家北京、上海政府机构名单(来源:360 核心安全技术博客)
尽管已有上百家政府机构遭到攻击,但对我们个人来说,是否存在安全隐患?目前来看,还不会。
“此次攻击事件主要影响北京和上海地区,相关的单位已经在自查,厂商已经配合进行了安全应急响应。由于厂商和安全公司的应急响应及时,暂不会威胁个人的信息安全。” 360 安全专家告诉 DeepTech,“此次黑客攻击针对 Windows 操作系统,对 macOS 操作系统暂无影响。”
竟与新冠疫情有关?
自新冠疫情暴发以来,国家企事业单位、驻外机构和科技公司等纷纷采取 “云办公” 模式,而远程办公能够实现的核心是 VPN,大量的员工都会通过 VPN 与总部建立联系、传输数据。一旦 VPN 漏洞被黑客利用,使用 VPN 远程办公的相关单位就会遭受重大安全危机。
360 安全大脑相关人员推测,DarkHotel 此次发动的黑客攻击或意图掌握我国在抗击新冠肺炎疫情期间的先进医疗技术和救疫措施,通过驻外机构动态进一步探究世界各国的疫情真实情况及数据,通过攻击中国驻外机构来掌握中国向世界各国输送救疫物资的运输轨迹、数量、设备。
“有一些被攻击的机构参与了一线的疫情防控”,在新冠疫情期间相关企事业单位大部分都是远程办公状态,黑客攻击的正是相关单位远程办公的核心基础设施,即 VPN 服务器。” 360 安全专家告诉 DeepTech。
研究人员在相关漏洞分析中表示,其中一台深信服被攻击的 VPN 服务器版本为 M6.3R1,该版本发行于 2014 年,由于版本过于老旧,存在大量安全漏洞。同时该相关单位的运维开发人员的安全意识不强,为了工作便利,将所维护的客户的敏感信息保存在工作页上。“正是因为关键基础设施的安全漏洞和相关人员的薄弱安全意识,才导致了 VPN 服务器被黑客攻破。”
黑客攻击细节
在此次攻击中,360 安全大脑发现,上述相关单位的用户在使用 VPN 客户端时,默认触发的升级过程被 DarkHotel 黑客劫持,将升级程序替换并植入后门程序。攻击者模仿正常程序对后门程序进行了签名伪装,普通人根本难以察觉。
图|完整攻击流程:1)启动 VPN;2)请求服务器更新;3)下发被替换的升级服务;4)在客户机中运行(来源:360 核心安全技术博客)
在对攻击活动的还原分析中,360 安全大脑发现此次攻击活动是深信服 VPN 客户端中深藏的一个漏洞被 DarkHotel 黑客所利用,该漏洞存在于 VPN 客户端启动连接服务器时默认触发的一个升级行为,当用户使用启动 VPN 客户端连接 VPN 服务器时,客户端会从所连接的 VPN 服务器上固定位置的配置文件获取升级信息。但是,在整个升级过程,客户端仅对更新程序做了简单的版本对比,没有做任何的安全检查。
图|伪造签名(左)与正常签名(右)(来源:360 核心安全技术博客)
这就导致黑客攻破 VPN 服务器后篡改升级配置文件并替换升级程序,从而利用此漏洞针对 VPN 用户定向散播后门程序。
DarkHotel 是一个有着东亚背景,长期针对企业高管、政府机构、国防工业、电子工业等重要机构实施网络间谍攻击活动的 APT 组织,自 2004 年以来一直在进行网络间谍活动,是近几年来最活跃的 APT 组织之一,主要攻击目标为电子行业、通信行业的企业高管及有关国家政要人物,其攻击范围遍布中国、朝鲜、日本、缅甸、俄罗斯等多个国家。
上个月,DarkHotel 通过钓鱼和垃圾邮件攻击了世界卫生组织(WHO)。黑客通过一个仿冒的 WHO 内部电子邮件系统服务器对内部人员进行钓鱼攻击,诱使员工登录该电子邮件系统,从而盗取他们的电子邮箱密码;在盗取电子邮件密码之后,黑客仿冒 WHO 的内部人员对组织内部发送垃圾邮件,欺骗其他内部人员下载安装窃密木马,从而盗取更多人的信息。
此外,这也并不是 DarkHotel 首次对中国发动攻击。今年 1 月,在 Windows 7 系统停服关键节点,DarkHotel 同时利用 IE 浏览器和火狐浏览器 “双星” 0day 漏洞,针对中国重点省份商贸相关的政府、企业及相关机构发起复合攻击。
深信服的回应
4 月 7 日,深信服针对此次黑客攻击事件做出回应称,本次漏洞为 SSL VPN 设备 Windows 客户端升级模块签名验证机制的缺陷,但该漏洞利用前提是必须已经获取控制 SSL VPN 设备的权限,因此利用难度较高。“初步预估,受影响的 VPN 设备数量有限。”
但 360 安全专家对 DeepTech 表示,“本次漏洞并不是利用难度和受影响设备数量的问题”,由于漏洞存在于 Windows 客户端中,如果用户不升级 VPN 客户端程序,就一直会有被攻击的风险,用户也无法判断 VPN 服务器是否安全。因此,厂商一方面要推进修复 VPN 服务器已经存在的安全漏洞,更重要的是提醒用户升级存在安全漏洞的 VPN 客户端程序。
对此,深信服表示,公司目前针对已确认遭受攻击的 SSL VPN 设备版本(M6.3R1 版本、M6.1 版本)发布了紧急修复补丁,安排技术服务人员为受影响用户上门排查与修复,公司也将发布 SSL VPN 设备篡改检测脚本,方便用户自行检测设备是否被篡改及是否需要修复补丁。
此外,深信服还将为用户提供 SSL VPN 设备主要标准版本修复补丁,以及发布恶意文件的专杀工具。
“在日常生活和工作中,用户提高安全意识,不要随便连接不受信任的 VPN 服务器,同时时刻开启安全软件的实时保护,预防可能出现的攻击。” 360 安全专家说。
