来自威胁情报公司的研究人员最近分析了与邻国A国和巴基斯坦日益加剧的地缘政治和经济紧张局势,可能如何影响印度的网络威胁活动。作为研究的一部分,IntSights(http://www.intsights.[com]/)公司还研究了该国更广泛的网络趋势以及其背后的因素。
研究表明,在最近几个月两个拥有核武器的国家之间边境紧张局势加剧的情况下,印度和A国之间的网络威胁活动有所增加。IntSights公司的首席安全官Etay Maor表示,双方之间爆发动能冲突的可能性正在推动印度加强网络进攻能力的努力。
去年,该国成立了一个新的三军联合网络防御局(DFA),将印度陆军、空军和海军的网络部队整合在一起,就是一个例子。该机构于去年11月开始运作,据信约有1000名来自三军的人员。它的任务是建立保护印度网络空间战略资产的能力,同时也开发进攻性网络战能力。
根据IntSights的说法,DCA的任务是能够入侵网络,对具有战略重要性的目标开展监视行动,并设置蜜罐。IntSights在其报告中说:"该机构寻求建立一个最先进的实验室,能够从硬盘和手机中恢复已删除的数据、破解加密的通信渠道以及执行其他复杂的目标。"
这家威胁情报公司确定了三个在印度活动的高级持续性威胁(APT)组织。Maor说,其中两个——一个叫 Dropping Elephant,另一个叫Viceroy Tiger——除了独立行动外,可能还进行国家支持的活动。IntSight的研究表明,Dropping Elephant主要针对位于A国和巴基斯坦等国家的军事和情报目标。该组织过去也与经济间谍活动有关。
根据IntSights的报告,Viceroy Tiger的活动范围似乎更广。据IntSight称,该组织的目标包括该地区以及美国和挪威等国家的政府、军事和民间实体。Maor说,这两个组织在其行动中主要倾向于使用已知漏洞、漏洞利用、恶意软件工具以及钓鱼和鱼叉式网络钓鱼等策略的组合。
Dropping Elephant和Viceroy Tiger这两个组织已经存在很长时间了。例如,卡巴斯基(Kaspersky)早在2016年就首次报道了Dropping Elephant,而Crowdstrike在2013年报道了Viceroy Tiger使用了一个零日漏洞。尽管如此,与在伊朗和朝鲜等国家运作的国家支持的APT行为者相比,这两个组织仍然相对不为人知,Maor指出。"我们无法百分之百地说他们是否隶属于印度军方,还是为他们工作的承包商,"他说。
雇佣黑客
IntSight报告中确定的第三个印度APT组织名为Dark Basin,是一种雇佣黑客组织,据称其目标是六大洲的政府官员、政客、宣传组织和人权活动家。该组织此前被描述为与一家名为BellTroX InfoTech Services的印度公司有关联。今年6月,它最近被指与一系列针对与埃克森美孚(ExxonMobil)打官司的环保非政府组织的攻击有关。根据多伦多大学公民实验室(Citizen Lab)在进行了多年调查后于今年6月披露的消息,Dark Basin还参与了针对气候宣传组织和倡导网络中立的组织的网络钓鱼活动。
公民实验室在其报告中说:"Dark Basin拥有 一个 引人注目的目标组合,从多个国家的高级政府官员和候选人,到对冲基金和银行等金融服务公司,再到制药公司。"
同时,印度网络人才的充足供应以及进入国内科技行业的职业机会相对有限,似乎正吸引许多人从事网络犯罪活动,IntSights说。该公司的研究显示,许多印度威胁行为体使用暗网论坛和地下市场来计划、协作和执行各种恶意活动。
该国境内有多个诈骗中心,利用从暗网论坛购买或通过网络钓鱼等社会工程手段获取的数据,来实施各种欺诈计划。IntSights在其报告中发现的活动包括技术支持诈骗、国税局诈骗、约会诈骗、使用成人内容勒索,以及威胁发布据称通过入侵安全摄像头获得的非法录像。
一些技术支持诈骗中心的员工有时似乎不知道他们所在组织的欺诈性质,并经常被误导认为他们在为大公司工作,Maor说。
参考资料:
https://www.darkreading.com/threat-intelligence/india-s-cybercrime-and-apt-operations-on-the-rise
推荐阅读
闲谈
威胁情报
1.威胁情报 - 最危险的网络安全工作
2.威胁情报专栏 | 威胁情报这十年(前传)
3.网络威胁情报的未来
4.情报内生?| 利用威胁情报平台落地网空杀伤链的七种方法
5.威胁情报专栏 | 特别策划 - 网空杀伤链
APT
入侵分析与红队攻防
天御智库