日本國家警察廳(National Police Agency)與國家網路安全事故應變與戰略中心(NISC)近期發布警告,指出一個代號為「MirrorFace」的中國政府支持駭客組織,自2019年以來持續針對日本進行網路間諜活動,竊取技術和國家安全機密。
持續性的網路攻擊活動
根據日本執法單位的調查,MirrorFace的攻擊手法主要分為三類:
- 第一類是從2019年到2023年間持續進行的精心策劃釣魚攻擊活動,主要針對日本的智庫、政府機構和政治人物,企圖植入惡意程式。
- 第二類攻擊始於2023年,該組織轉向尋找並利用網路設備的漏洞,受害產業包括醫療保健、製造業、資訊通訊、教育和航太等領域。攻擊者特別利用了多個知名產品的漏洞,包括:
- Fortinet FortiOS和FortiProxy(CVE-2023-28461)
- Citrix ADC(CVE-2023-27997)
- Citrix Gateway(CVE-2023-3519)
- 第三類攻擊從2024年6月開始,使用基本的釣魚手法,鎖定媒體、智庫和日本政治人物。此外,在2023年2月至10月期間,該組織還被發現利用SQL注入漏洞入侵日本組織的對外公開伺服器。
專家評估:為可能的衝突做準備
前 FBI 情報人員、現任 ExtraHop 首席資訊安全與風險長Mark Bowling表示,MirrorFace疑似為中國人民解放軍(PLA)的網路作戰單位。「自2019年以來,
MirrorFace APT組織一直使用精心設計的魚叉式釣魚活動,並運用LODEINFO和MirrorStealer等武器化程式碼,竊取憑證、提升權限並竊取資料。這些行動可能是為了在未來與日本發生衝突時,為中國軍方提供優勢。」
全球地緣政治緊張局勢的影響
這次揭露MirrorFace的活動,恰逢
另一個中國支持的APT組織「Salt Typhoon」入侵美國財政部和全球電信公司的消息傳出之際。Bowling預計,隨著全球地緣政治緊張局勢持續升溫,APT組織的活動將會增加,特別是針對美國的國家級攻擊者。
「烏克蘭、台灣問題,以及伊朗透過代理人對以色列的敵對行動所造成的緊張關係,正逐漸演變成積極且持續不斷的數位攻擊行動,」Bowling解釋道。「毫無疑問,來自國家級組織的威脅將在今年在數量和複雜度上都有所增加,特別是針對公用事業、電信和醫療保健等關鍵基礎設施的攻擊。」
防護建議
日本警方表示,此次公布MirrorFace的作業手法,目的在於讓可能成為目標的組織、企業營運者和個人意識到他們在網路空間面臨的威脅,並鼓勵他們採取適當的安全措施,防止網路攻擊造成的損害擴大,並預防損害發生。
本文轉載自darkreading。