点击蓝字
关注我们
1. 背景概述
俄乌战争还未平息,巴以冲突又接踵而至,国与国之间因政治对立而爆发战争的情况时有发生。在现代化战争中,网络战作为新的作战形式发挥着攻击、情报收集、信息操纵、防御和支援等重要作用,已经成为现代信息化战争中不可或缺的一部分,对战略目标和战争结果具有重要影响。
在巴以冲突中,由于双方的实力差距过于悬殊,巴勒斯坦境内位于加沙地带的基础设施遭到以色列的断电以及炮火手段的打击,限制了其境内网络战能力,网络战实施的主体则由以色列网络部队以及支持双方阵营的第三方黑客组织参与。
根据FalconFeedsio的最新统计,目前有20个黑客组织已宣布支持以色列,有77个黑客组织宣布支持巴勒斯坦,攻击的主要对象包括双方的网络基础设施、新闻媒体、金融、能源、电信、政府部门等机构。除此之外,为平民提供服务的移动应用也成为了攻击对象。移动终端作为日常生活工具,并具备战时的情报获取和情报共享的重要能力,战争时期会面临更高的攻击风险。
2. 战时移动终端发挥的情报作用
移动终端作为民众生活中不可或缺的日常工具,其普及性、便携性和智能性使得情报的获取和共享更加高效和实时,在战争时期也可以发挥重要作用。
巴以地区基本每隔两三年就会爆发一次大规模的冲突,以色列民众对于在其地区即将发生的空袭警告预警具有强烈需求,于是诞生了火箭弹袭击、空袭袭击等警报预警类应用。
在战时环境下,此类警报预警类型的应用能够让民众随时随地通过终端设备直接获取的实时火箭弹袭击的预警信息,为民众争取有效的响应时间。另外,应用反映的是一个真实且实时的战场,其他地区民众也能够使用该服务在第一时间了解到袭击的一线战场情况,能够拉近战场与其他地区民众的距离。
图2-1 预警应用页面
除此之外,民众可以使用终端设备记录和拍摄战场情况、敌军动态等重要情报信息,并通过网络将这些信息共享给军方情报部门。在俄乌战场上,乌克兰民间志愿者开发了防空类型的情报收集共享应用“ePPO”。
图2-2 ePPO应用下载页面
应用设计的主要目的是让乌克兰全民来参与,能够在第一时间共享所发现来自敌方的低空飞行的导弹、飞机、无人机等军事设备等情报,弥补防空雷达覆盖能力的缺陷。民众上传的地理坐标、时间戳、方向等参数数据会直接传送至军方后台进行分析并完善雷达信息,从而实现更全面的防空预警。在战场中民众提交此类的情报反映的是一线战场经过真人确认的空袭情报,为军方扩充了真实情报来源。
根据应用官网中“https://eppoua.com/”所展示的信息来看,“ePPO”应用在真实的战场发挥作用,并取得了不错的战果。此应用还得到了乌克兰国防部等官方部门的认可和推荐,这些信息说明“ePPO”应用的实用性和有效性得到了验证。
图2-3 ePPO应用在战场使用案例
3. 巴以冲突中的移动终端攻击事件
预警类应用在战时的紧要性更加突出,因此在巴以冲突爆发后不久,多方黑客瞄准了巴以地区的预警类应用,针对民众发起攻击,目前已发现两起相关攻击活动。
事件一:仿冒预警应用,窃取用户隐私。
2023年10月13日,域名为“redalerts[.]me”的托管网站被发现分别针对 iOS 和 Android 端分发一款仿冒“RedAlert-Rocket Alerts”的恶意应用。指向 Apple App Store 的链接引用了RedAlert应用程序的合法版本,但该链接据称引用了 Play 商店上托管的Android版本,却直接下载了恶意APK文件。
网站创建于 2023年10月12日,目前已经下线。
图3-1 仿冒应用下载页面
“RedAlert-Rocket Alerts”是一款民间志愿者制作的开源应用,旨在为以色列公民提供实时火箭警报来保护以色列公民,具有推送空袭警报通知的功能。应用在苹果和安卓应用市场均有上架,一经推出就受到大众的喜爱,曾连续 4 周在以色列Google Play免费排行榜上排名第一,截止目前该应用仅在Google Play上的下载量已超过100万。
图3-2 GooglePlay正版应用下载页面
对比正版应用,攻击者在样本中添加了用于运行环境检测功能模块,以及窃取用户隐私的恶意功能模块。这些模块会在程序运行后,由名为“com.company.allinclusive.AI.AIService”恶意系统服务来完成激活。
图3-3 样本包结构对比
运行环境检测功能模块:程序运行后鉴别当前设备是否属于正常运行环境中,以此来判断是否属于正常用户设备,从而决定是否激活窃取用户隐私功能模块。检测的手段包括模拟器环境检测、调试检测、动态污点跟踪及Monkey测试检测等。该行为主要是作为针对安全检测沙箱、逃避安全检测的常规手段。
图3-4 运行环境检测功能模块
窃取用户隐私功能模块:在模块被激活后,向用户请求敏感权限并在获得用户允许后,在后台获取用户设备中的短信、通讯录、设备账号、通话记录、定位信息、SIM卡信息和应用安装列表等敏感数据。
图3-5 窃取用户隐私功能模块
这些敏感数据经过AES加密处理后回传至攻击者所控制的“23.254.228.135”服务器,最终导致安装了此应用的受害者用户隐私数据的泄露。
图3-6 c2服务器地址
此次仿冒预警应用攻击事件以广泛的以色列民众为目标,利用战时民众的恐慌情绪,通过域模拟仿冒合法网站。普通民众很容易掉进攻击者精心设计的陷阱,攻击活动成功概率极大提升,导致民众隐私数据大规模泄露。
事件二:攻击预警应用,发送虚假警报
国外AnonGhost 黑客组织于2023年10月8日,在其 Telegram 频道上分享了攻击信息,声称已成功利用实时火箭警报应用程序“RedAlert:Isarel”中的应用API漏洞。
图3-7 AnonGhost 声称对 RedAlert 网络攻击负责(来源:网络)
“RedAlert:Isarel”是另一款由民间志愿者10年前开发的免费警报预警应用,面向于以色列公民提供空袭预警服务,警报数据来源自以色列国防军IDF和国土防卫司令部。目前该应用只在苹果应用市场上架,在苹果应用市场中最受欢迎的应用程序中排名第 15,而谷歌应用市场在该应用遭受攻击后已经被下架。
图3-8 苹果商店应用下载页面
此次攻击该应用的黑客表示,通过利用该漏洞已成功向用户发送了“核弹即将到来”以及“以色列死亡”和带有法西斯标志的虚假警报消息。
图3-9 虚假的核弹警报(来源:网络)
该组织还称向该应用用户发送了垃圾邮件,大约有1万至2万的用户接收到了发送的信息。
图3-10 在 AnonGhost 的 Telegram 频道上发帖(来源:网络)
4. 战时移动终端面临的风险与建议
战时环境下,网络战规模会因第三方民间黑客组织参与,随着交战双方的实力和战场局势而扩大,网络基础设施、涉及民生的移动网络服务供应商均会成为攻击对象。而在特殊场景下,战时针对移动应用的攻击行动将导致网络服务受到严重影响。虚假战时信息和情报的出现不仅扰乱社会秩序与稳定,甚至能左右战场的军事行动。
此次巴以冲突中移动应用“RedAlert:Isarel”攻击事件,在民众完全信赖应用所提供的服务保障前提下,攻击者利用预警应用自身的漏洞向民众发送虚假的空袭警报,这些虚假战时信息会引发民众的恐慌和骚乱,严重影响社会的稳定。
以俄乌战场实际案例为例,在乌克兰战时情报共享移动应用的运营初期,攻击者组织了针对该类应用的大量攻击,由于当时应用身份验证功能不够完善,攻击者在应用中发布了大量的虚假战时情报信息,导致乌克兰军方基于虚假情报做出军事行动,浪费了宝贵的资源。应用运营方在吸取教训后,在此类面向大众的情报收集系统中加入了强制国民身份认证模块,从而有效地减少了虚假战时情报现象的产生。
除此以外,在战时环境下,网络战的攻击频率大大增加,可能导致大规模的隐私侵犯和数据泄露。攻击者窃取敏感个人、政府、企业等机构的机密信息,被敌对势力利用。在特殊时期下,这些敏感、机密数据泄露造成的危害和影响会被放大,对个人隐私和国家安全都构成了严重威胁。
对于以上风险,保障战时环境下民用移动网络的安全,需要通过包括监管、网络服务供应商、企业和用户等在内的角色积极响应与协同,并且严格执行严格落地执行国家出台的相关法律法规和行业标准,能够降低网络战对社会造成影响,是应对网络战的有效手段。我们给出对策建议如下:
对策建议1
行业监管单位作为行业发展、规范的领导者和监督者,发挥着主导作用。除了监管落实国家相关网络安全法律、法规和标准,可建立涉及战前、战中、战后的一整套战时民用移动网络安全防护体系。战前主要涉及企业战时应急预案措施、战时移动网络防护等级、战时移动网络应急响应的标准等;战中主要涉及战时网络威胁情报共享、移动网络服务舆情的监管和引导、战时民众的网络安全教育等;战后主要涉及行业威胁事件统计、影响面分析、攻击防范技术措施共享等。
对策建议2
企业作为数据生产者、使用者和传播者,同时做为实施网络安全防护的主体,其安全技术水平决定着服务安全防护能力的强弱。企业提供的应用服务当充分考虑评估在设计、开发、部署、运营等各个场景下可能出现的安全风险和应对方法,严格遵守《中华人民共和国网络安全法》、《 中华人民共和数据安全法》、《中华人民共和个人信息保护法》法律法规,保障企业数据安全,同时遵循行业《信息安全技术 移动互联网应用程序(APP)生命周期安全管理指南》的国家标准,避免由开发环节引入或者管理不当等在应用生命周期内造成的,如恶意代码攻击、应用程序漏洞、用户隐私数据泄露、数据保护不当等安全威胁,另外还可借助权威的第三方应用安全产品进行检测和测试,防范攻击带来的安全风险,确保应用的安全性和防护能力。除此之外,企业应当定期组织员工的安全教育,提高员工安全意识,保障企业安全经营。对于重点企业的涉密人员应定期组织移动终端安全产品检测,避免因为“人祸”产生的企业安全风险。
对策建议3
对策建议4
参考链接
[1].https://twitter.com/GroupIB_TI/status/1711234869060358562
[3].https://eppoua.com/#why-exactly-is-PPO
[4].https://gur.gov.ua/content/ukraintsi-cherez-zastosunok-ieppo-mozhut-dopomohty-zenitnykam-zbyvaty-vorozhi-drony-ta-rakety.html
END
关于安天移动安全
武汉安天信息技术有限责任公司(简称安天移动安全)成立于 2010 年,是安天科技集团旗下专注于移动智能用户生态安全防护的科技公司。自主创新的移动反病毒引擎,在 2013 年以全年最高平均检出率荣获 AV-TEST“移动设备最佳防护”奖,实现了亚洲安全厂商在全球顶级安全测评领域重量级奖项零的突破。经过十余年的发展与积累,公司的反病毒引擎产品已与移动终端设备厂商、移动应用开发者、运营商、监管部门等移动设备产业链上下游企业机构伙伴成功合作,为全球超 30 亿移动智能终端设备提供全维度、全生命周期安全护航,已发展成为全球领先的移动互联网安全防护厂商。安天移动安全始终秉承安全普惠使命,通过自主创新国际领先的安全核心技术,与产业链各方共同打造操作系统内生安全的绿色生态链,为新时代用户打造国民级安全产品,在万物互联时代营造更安全和可持续的全场景健康数字体验。
关于安天移动威胁情报团队
安天移动威胁情报团队致力于移动APT活动研究及移动安全攻防对抗技术研究,由一支拥有前沿移动端安全对抗技术、多年境外APT组织实战对抗经验、漏洞分析与挖掘能力的一流安全工程师团队组成。在近些年,成功通过基于安天移动样本大数据的APT特马风控预警运营体系,持续发现包含肚脑虫、利刃鹰、APT37等多个APT组织的移动端攻击活动,并依托该体系建立了一线移动端攻击活动的捕获能力、拓线溯源分析能力。安天移动威胁情报团队未来将仍持续专注于移动安全领域研究,以安全普惠为核心价值观,建设一支召之即来,来之能战,战之必胜的顶尖网络安全团队,并将长久且坚定地维护移动网络世界安全。
原文始发于微信公众号(安天AVL威胁情报中心):解析巴以冲突中的移动端攻击事件:网空攻防中移动终端的关键角色
