微软本周宣布,已采取必要行动破坏了俄罗斯黑客集团Seaborgium的网络钓鱼行动,Seaborgium持续锁定特定的组织及个人发动网络钓鱼攻击,特别是北约国家,以窃取这些个人或组织员工的凭证,进而长期窃取与搜集资料,并利用这些资料来发动资讯战,于是微软关闭了Seaborgium黑客所利用的微软服务,包括LinkedIn账号、电子邮件账号与OneDrive账号等。
微软自2017年以来便开始关注Seaborgium,相信它是由俄罗斯政府支持的黑客集团,主要任务是窃取情报以传播不实资讯,而非基于财务动机。
这几年来Seaborgium都针对同样的一批组织发动攻击,企图创建长驻能力,除了个人之外,Seaborgium主要的攻击目标为北约国家的组织,特别是美国与美国,偶尔也有波罗的海、北欧或中欧国家的组织受害,乌克兰或支持乌克兰的组织也为受害者,目标对象可能是国防暨情报顾问公司、非政府组织、政府间组织、智库或高等教育机构等,也有俄罗斯的前情报官员、俄罗斯事务的专家或旅居海外的俄罗斯人遭到锁定。
Seaborgium的计划很缜密,黑客会先研究目标对象的文件,之后于社交网站上创建一个与之相关的假账号,也会有一个与之搭配的电子邮件账号,第一步会先通过电子邮件账号与受害者联系,以对方有兴趣的主题来吸引受害者,在收到受害者回应之后,才会再发送恶意电子邮件。
这些电子邮件可能含有恶意的PDF档,或是直接于电子邮件中嵌入恶意连接,或是邀请受害者打开存放于OneDrive上的PDF档,但不论是哪一个,最终目的都是将用户跳转至网络钓鱼页面,诱导受害者输入凭证,进而接管受害者的电子邮件账号。
图片来源/微软
由于Seaborgium的目的是搜集情报,因此黑客会窃取受害者信箱中的所有资料,或是直接于邮件服务中设置转发功能,将所有邮件转发至黑客信箱,也会用来访问受害者的其他联系人。
Seaborgium还会以所搜集的情报来撰写假新闻,例如曾经黑进支持英国脱欧的多名高级官员的Protonmail账号,并利用自这些账号中窃取的文件来编故事,宣称这些脱欧支持者准备发动政变。微软呼吁不管是媒体或读者都应谨慎对待各种资讯,以免在不经意间成为传播不实资讯的帮凶。
微软除了公布Seaborgium网络钓鱼活动的入侵指标之外,也建议Office 365用户检查电子邮件的过滤设置,关闭自动转发功能,审核所有自远程访问的活动,要求多因素认证,以及采用硬件密钥等。