全球資安盛會「亞洲黑帽安全大會」(Black Hat Asia, BHASIA)今年以線上與實體混合方式舉辦,自 2021 年 5 月 9 日至 12 日(新加坡時間 UTC+8),為期3天的精彩議程(Black Hat Briefing)、專業深度培訓(Training),以及最新開源駭客工具的展示(Black Hat Arsenal),由頂尖資訊安全專家們傳授最新、第一手的技術與研究發現。
TeamT5 威脅情資研究員們連續第3年登上 BHASIA,本次將發表演講「千里眼行動 : 威脅族群是如何採取針對媒體業的間諜行動(Operation Clairvoyance: How APT Groups Spy on the Media Industry)」,並與世界各地的資安研究人員交流最新的資訊安全風險、研究與趨勢。
根據 TeamT5 長期研究,網路間諜行動者持續對媒體業表現出極大的興趣。這些行動者似乎喜歡通過這些媒體公司和記者的「眼睛」觀察台灣的日常活動。2022 年,臺灣局勢更顯嚴峻,TeamT5 觀察到越來越多的進階持續性威脅(advanced persistent threat, APT) 族群滲透到臺灣的媒體業。 據我們觀察,媒體業已成為這些 APT 組織的第一個非政府組織類型的攻擊目標。
本次演講將重點關注 APT 族群針對臺灣媒體公司的針對性攻擊。 我們將這一系列攻擊稱為「千里眼行動」。 由於時任美國眾議院議長佩洛西(Pelosi)女士訪臺,及2022年臺灣地方選舉,帶來更加緊張的臺灣政治局勢,而我們將剖析自2020年以來追蹤的二十多次針對性攻擊行動。我們的研究顯示,這些針對性攻擊與惡名昭彰的中國 APT 族群有技術關聯性,包括 APT23(又名 GouShe)、APT41(又名 Winnti、Amoeba)和 BlackTech(又名 Huapi)。
TeamT5 研究員的演講將涵蓋這些攻擊的戰術、技巧和程序(TTP)。我們已經觀察到到那些 APT 族群針對媒體公司,採取不同的 TTP,其中一些後門程式則濫用雲服務作為他們的 C2 (command and control)。
更重要的是,這些案例讓我們窺見了中國的戰略。 我們認為,這些 APT 攻擊是中國政府的前期工作。 此外,我們的威脅情資指出了幾種可能的情況,這些情況可能會讓我們考慮這些 APT 攻擊的最終目標。
透過在 Black Hat Asia 分享,TeamT5 希望更多的人和組織意識到這個議題。
關於黑帽大會(Black Hat)
黑帽大會(Black Hat)每年聚集全球資訊安全專家、優秀研究人員於一堂,透過資安研究、開發與最新趨勢交流,鼓勵學術界、世界級研究人員與各領域決策及領導者間的合作、成長。黑帽簡報會(Black Hat Briefing)與培訓(Training)每年也都在美國、歐洲與亞洲舉行,匯集全球資安頂尖人員參與盛會。