熊貓安全公司近日發(fā)布了一份關(guān)于針對(duì)石油運(yùn)輸船的黑客活動(dòng)報(bào)告，該攻擊活動(dòng)被稱為“幽靈的威脅”。對(duì)石油貨物的攻擊開始于2013年8月，2014年1月首次被發(fā)現(xiàn)，攻擊者的主要目的是竊取機(jī)密信息以打擊石油公司。

[[135122]]

攻擊分析

“幽靈的威脅”是一個(gè)高度復(fù)雜的攻擊活動(dòng)，攻擊者使用結(jié)合了一些自制攻擊工具，使他們能夠繞過防御措施。

攻擊活動(dòng)的發(fā)現(xiàn)極其偶然，是在公司秘書打開了一個(gè)電子郵件附件后，專家們發(fā)現(xiàn)它的。研究人員發(fā)現(xiàn)十個(gè)石油和天然氣海上運(yùn)輸領(lǐng)域的公司都在使用相同的惡意代理。

熊貓安全實(shí)驗(yàn)室技術(shù)總監(jiān)Luis Corrons解釋說：

“最初，這看起來就像一個(gè)普通的非針對(duì)性的攻擊。一旦我們進(jìn)一步挖掘，就發(fā)現(xiàn)很顯然，這是一個(gè)系統(tǒng)的，有針對(duì)性的對(duì)石油行業(yè)的特定領(lǐng)域的攻擊，如果受害公司愿意出面，我們可以限制這種潛在危險(xiǎn)的網(wǎng)絡(luò)攻擊的影響”

經(jīng)過初步調(diào)查，安全專家們發(fā)現(xiàn)惡意攻擊者在進(jìn)行活動(dòng)的時(shí)候犯了很大的錯(cuò)誤——“幽靈的威脅”使用FTP連接exfiltrate數(shù)據(jù)。這使得在分析黑客所使用的FTP連接后，就能識(shí)別出這個(gè)電子郵件的地址和負(fù)責(zé)的名稱。

經(jīng)過分析，攻擊者來自尼日利亞。在他們使用的免費(fèi)FTP服務(wù)登記表中，攻擊者提供的名字是“Ikeja”，Ikeja位于拉各斯郊區(qū)，這個(gè)地方也被稱為“計(jì)算機(jī)村“，因?yàn)槟抢锸菄?guó)內(nèi)最大的技術(shù)產(chǎn)品市場(chǎng)。

當(dāng)然這些信息也可能是假的，但開賬戶的人一定熟悉這個(gè)名字，這意味著他們來自尼日利亞或非常了解這個(gè)國(guó)家。

尼日利亞騙局

研究人員在攻擊者的FTP服務(wù)器上發(fā)現(xiàn)存放了大量文件：80000個(gè)相關(guān)文件以及從其他公司竊取的登錄憑證。而且“幽靈的威脅”的目標(biāo)是公司的特定部門。研究人員推測(cè)“幽靈的威脅”是由尼日利亞分支犯罪團(tuán)伙操作的。

“尼日利亞詐騙行業(yè)非常豐盛，影響著各類行業(yè)，其中就包括了石油工業(yè)。騙子接觸經(jīng)紀(jì)公司或中間商，高價(jià)為他們提供大致一兩百萬桶的BLCO(博尼輕質(zhì)原油)。如果有買家感興趣，他們會(huì)要求有書面證據(jù)證明該產(chǎn)品的存在。于是騙子會(huì)提供不同類型的證明，比如：質(zhì)量證書，原產(chǎn)地證書，貨物艙單。為了達(dá)成交易，買方必須提前支付從$50,000到$100,000不等的金額。然而，一旦他們付了錢他們都遇到這個(gè)問題——根本拿不到油!”

熊貓安全：希望受害者勇敢站出來

雖然熊貓安全已經(jīng)確定了攻擊者是誰(shuí)，但目前卻沒有一個(gè)受害企業(yè)向警方報(bào)案。熊貓安全希望受害者能舉報(bào)并提供更多犯罪者信息。