賽門鐵克(Symantec)最近發布一份報告指出,發現了一個來自中國的駭客集團Hidden Lynx,該集團在過去三年多來針對特定機構展開至少上百起的網路攻擊,其中還包括今年二月時入侵安全公司Bit9,以及2009年的極光行動(Operation Aurora)。目前共有15個地區受到波及,台灣則為僅次於美國的受害國家。
由於該駭客集團在其C&C伺服器中使用了Hidden Lynx的字眼,賽門鐵克因而以此為名。特別的是,該集團雖然僅挑特定組織下手,但其攻擊目標的類型、區域和數量都相當廣泛,賽門鐵克因此推斷,Hidden Lynx很可能提供專業的駭客雇用(hacker for hire)服務,即可接受其他機構的委託,針對特定企業和組織展開網路商業間諜行動,以竊取商業機密資料。
Hidden Lynx從2009年開始在世界各地發動網路攻擊,已有15個地區、上百個機構遭駭。最大的受害國家為美國,占整體的52.7%,台灣則位居第二,為15.5%,其他依序為中國(9%)、香港(4%)、日本(3%)、加拿大(2.4%)、德國(2.2%)和俄國(1.7%)。
若以產業別來看,金融服務業成為最大的攻擊目標,其他還包括政府、資通訊、教育和醫療等。然而,以金融業來說,較大型銀行卻不是主要的攻擊對象,反倒是投資銀行、資產管理機構,以及股票交易公司等,更容易淪為駭客鎖定的目標。
賽門鐵克進而分析,Hidden Lynx的規模約介於50到100人,而且可能進而分成至少兩個團隊以展開不同的活動。Hidden Lynx不僅規模相當龐大,其攻擊能力也遠超過目前許多活躍的駭客集團,比如曾鎖定美國政府發動攻擊且與中國解放軍有關的Comment Crew駭客集團。
賽門鐵克表示,從Hidden Lynx發動的一系列攻擊顯示,該集團採取的攻擊手法具備相當高的專業性、組織性,以及效率,他們能同時發動數起網路攻擊,並快速地變更攻擊策略,因此,就連許多安全保護等級相當高的機構也無法倖免。
此外,Hidden Lynx攻擊的手法相當多元,該集團也是水坑攻擊(watering hole)的採用先驅,並能善用許多早期零時差(zero-day)漏洞,在某些案例中,甚至透過入侵目標機構的供應鏈,以作為攻擊目標機構的跳板。