“黄金眼”潜伏13年 针对金融机构的国内APT组织终被披露
https://kknews.cc/finance/lzqzqgg.html
近日,360威胁情报中心在其发布的《中国高级持续性威胁(APT)研究报告》中,披露了一个持续攻击国内多个商业机构、旨在窃取金融交易敏感信息的APT组织——“黄金眼”,这也是国内披露的首个针对商业机构的国内APT组织。
长期以来,APT组织的网络攻击主要以窃取与政治、军事和科研有关的信息为主,不过近年来,以直接窃取钱财为目的,针对银行等金融机构的APT攻击事件频发。2016年更可以称得上是一个全球金融机构的网络灾害年:上半年以孟加拉国央行为代表的一系列发展中国家的银行都遭遇网络攻击事件,损失高达数千万美元;下半年又接连发生了以台湾第一银行、泰国邮政储蓄银行等金融机构的ATM现金被盗事件。
360威胁情报中心此次披露的黄金眼组织则针对国内金融等商业机构,通过长期窃取敏感金融交易信息牟利,是国内APT攻击的新动向,值得国内相关机构关注。
据介绍,2015年12月,360安全服务团队基于日常的应急响应记录结合云端大数据,发现了一系列针对金融机构的定向攻击事件,360安全服务团队联合360追日团队对此事件展开了深入调查。
“我们调查发现,这些攻击事件都是由一个专门针对金融系统的APT组织发起的”,360企业安全副总裁、天眼实验室负责人韩永刚介绍,“这个组织伪装成一个合法的软件开发企业,通过恶意程序窃取其他金融机构的敏感交易信息,进而将这些交易信息作为投资情报,用于不当的投资活动并赚取非法超额利润。由于其攻击目标主要针对金融等商业机构,我们将其命名为黄金眼”。
据悉,黄金眼行动最早可以追溯到2004年,相关攻击活动分别在2012年和2014年呈现两次高峰,2014年的攻击强度远远超过2012年。其主要攻击对象为:基金、证券、保险、理财和资产管理等多种类型的境内金融机构,还包括一部分的个人股民。
黄金眼行动使用了一整套恶意代码对目标系统实施入侵和控制,并可跨越所有Windows平台发动攻击。特别的,该组织的相关攻击工具经过了长期不断的版本升级和功能演化,在某些特定时期,攻击者会不分昼夜地对工具进行开发改进。
据了解,黄金眼组织具有极强的反侦察能力,相关攻击代码在被释放出来之前也做了必要的清理,基本不包含任何可能泄露作者或攻击者所处环境的信息。
360企业安全副总裁、天眼实验室负责人韩永刚认为,黄金眼行动的恶意代码,其架构之复杂,功能之完善,以及持续改进的繁多版本,显示出该组织开发运维的高度专业性,黄金眼的攻击水平和反侦察能力均达到了国家级水平,甚至超出了很多境外的APT组织。
“我们发现,即便仅仅从对金融业务的熟悉程度来看,黄金眼行动也具有高度的专业性。”韩永刚称,“我们有理由认为,该APT组织实际上是由一群计算机专家和熟悉金融业务的人员共同组成。”
