Blue Termite "蓝白蚁"APT:渗透日本养老金系统 导致大量PII数据泄漏

admin

日本养老金系统120万PII数据泄露已经有几天了，这段时间已经足够这些数据被公开利用，至少可以产生理论上的攻击源和向量。根据日本卡巴斯基的消息（这一消息我还没有在任何英文网站上看到），这次针对JPS的网络攻击是一次APT攻击，被称为“Blue Termite”（蓝白蚁），并且目标100%只针对日本。

“Blue Termite是100%以日本为目标的APT攻击，针对日本养老金机构的攻击也是其中的一环，其目标并不仅仅是该机构，而是“日本全体”。多亏了偶然的信息泄露，该机构才发觉了这一攻击，以政府机关和媒体为首、防御相关、能源相关、航空宇宙产业、金融，化学、制造业、研究·学术机构，甚至在信息通信工作者的云服务器上，已经明确发现了至少300处Blue Termite的病毒入侵痕迹。

Blue Termite是由被称为CloudyOmega的组织展开的攻击之一。他们使用的目标型攻击邮件和恶意软件去年秋天在赛门铁克和趋势科技的报告中被提到。

例如，发信者是“健康保险组合运营事务局”的邮件中，添加了伪装成“健康保险须知”的word文档作为附件，这实际上是自解压型的可执行文件（exe），一旦打开，假的word文档会正常显示，而内部隐藏的恶意软件会自动执行，感染用户的计算机。并且开始与攻击者的指令服务器（C&C服务器）开始通信，进行信息窃取等活动。”

根据卡巴斯基实验室的报告，这次的恶意行为针对日本各种行业，包括政府、国防工业、关键基础设施、航空航天、金融、制造和学术界。云服务提供商的分析显示，可能有数量超过300的网站被感染，并且被用于进行恶意软件分发。此外，根据赛门铁克和趋势科技报道，该活动已经追溯到一个名为CloudyOmega的组织，他们的“blue termite”攻击利用了当前最常见和最成功的向量进行钓鱼。

与大多数这种类型的活动类似，电子邮件中携带的恶意攻击载荷采用写入到其他可信文件中的方式，接受者要分辨出真伪是非常困难的。大多数的钓鱼邮件包含的“医疗保险”的通知文档，实际上是一个自解压可执行文件（exe）。当被打开时，会打开一个窗口正常显示微软word文档并且显示桌面通知。之后恶意软件会在用户不知道的情况下在后台启动一个控制命令。这就是所谓的黑科技，允许恶意行为者偷出信息并且和任意网络建立连接。

根据卡巴斯基实验室的描述，C&C活动开始于2014年9月18日左右，在10月到12月之间每天有100以上的C&C连接，直到活动平息。然后突然在2015年4月，仅仅两个月前，C&C交流活动复活，每天大概有140例连接。

一旦C&C服务器与受害者之间的通道建立，攻击者就可以对目录和文件进行分析来确定手否存在有价值的数据并且进行提取。如果无价值，则活动停止。否则，额外的黑客工具会被下载到受害者的机器上来帮助攻击者获取数据。这些工具帮助攻击者在网络上进行横向转移，并且劫持邮件账户和web浏览器信息。

很可能这不会是我们最后一次听到关于Blue Termite和CloudyOmega针对日本做出数据损害。我觉得最有趣的是Blue Termite 似乎只针对日本，该恶意软件没有被用于攻击其他国家。更重要的是，没有一个英文网站讨论Blue Termite，更加表明了这一攻击只针对日本。

在这一点上有三个突出问题：

1.CloudyOmega 是一个民族国家，黑客组织，还是一群坐在地下室里的脚本小子？攻击的复杂性更倾向于国家，至少是一个精英组成的紧密的团体。从动机的角度来看，民族国家是合理的。

2.如果CloudyOmega是一个民族国家，那么是哪一个国家？这种类型的数据窃取似乎只有利于国家攻击者，因为这种损害日本养老金系统PII的方式并没有明显的价值。

3.最后，对JPS和OPM的攻击时间非常好奇，两者之间是否存在什么关系？