Blue Coat Systems的資訊安全實驗室發現最新崛起的針對性攻擊行動,主要在取得受害者的電腦存取權後從中竊取機密資訊;由於此惡意程式使用多層次(layers)手法侵入,因此命名為「全面啟動」(Inception)。該行動鎖定的都是高階人士:如石油、金融、工程界的一級主管,及軍官、使館人員或是政府官員。「全面啟動」攻擊起初鎖定俄羅斯或與俄羅斯有利害關係的目標,但之後又將目標擴大到全世界,其感染途徑主要是透過夾帶內含木馬程式文件的網路釣魚信件。
其Windows平台的命令與控制(Command & Control)流量間接從瑞典雲端服務空間,利用WebDAV協定執行,不僅隱藏攻擊者身份,同時還能繞過現今許多企業採用的偵測機制。此外,攻擊者還加入其他間接層來偽裝身份,例如命令與控制的溝通利用到一些路由器的代理網路(Proxy Network),而且會先駭入安全設定較為薄弱或使用預設設定的家用路由器。從惡意程式利用多層次的混淆與間接攻擊者之間的控制機制和鎖定的目標等證據來看,顯然「全面啟動」行動的攻擊目的是想要持續潛伏。
它的架構(Framework)持續在發展,Blue Coat資安實驗室發現,攻擊者還為Android、BlackBerry及iOS等行動裝置打造專屬的惡意程式,以蒐集受害者的機密資料;此外似乎還為目標對象設計了多媒體簡訊(MMS)網釣行動。目前為止Blue Coat觀察到已被鎖定的全球電信業者就有60多家,包括了中國移動、O2、Orange、SingTel、T-Mobile,以及Vodafone,但實際數字應該會更多。
攻擊者將惡意元件嵌入到RTF檔案裡,然後利用RTF格式的漏洞遠端存取受害者電腦。檔案則是透過Word文件附檔以網路釣魚郵件傳送到受害者電腦。當使用者點選附件時會顯示出一個Word文件,讓使用者不會起疑心,無法注意到已有惡意程式偷偷解密並儲存在電腦磁碟裡。和其他許多攻擊行動不一樣的是,所下載的檔案名稱都不一樣,顯然是隨機產生的,可藉以規避檔案名稱的偵測機制。
這個惡意程式會蒐集受感染機器的系統資訊,包括作業系統版本、電腦名稱、使用者名稱、使用者群組成員、正在執行的程序、本機ID,以及系統磁碟機和容量等資訊。所有的系統資訊都會經由加密後透過WebDAV協定傳送到雲端儲存空間。如此的惡意活動架構設計,是為了要確保惡意程式感染系統後能夠透過雲端服務來執行所有的通訊,例如目標的研究、配置更新、惡意程式更新及資料的提取等。惡意活動的架構元件採用了外掛(plug-in)模型,讓惡意程式能夠利用既存的惡意程式元件與整個框架互動。如果沒有初始的安裝器,後續的各個獨立模組都將無法運作,而且由於全部元件都只存在於記憶體,所以會在重新開機之後消失。
此攻擊者所展現出的操作,是Blue Coat所見過最為先進的。攻擊者與整個基礎設施之間的互動,絕大多數都是透過難以捉摸的路由器代理(Router Proxies)網路及租用的主機,而且這些路由器代理及租用主機多數似乎都因為安全設定太弱或使用預設的設定而遭受感染。
很顯然的,「全面啟動」行動的背後有強大的資源以及非常專業的組織在支持,並有相當明確的目標企圖,因此將可能造成廣泛的傷害。自動化以及精湛的程式能力、攻擊行動中有效酬載的多層次保護措施,以及混淆攻擊者身份的技法相當進階,種種跡象都可看出整個攻擊框架的複雜程度。從它的攻擊屬性以及鎖定的都是國家政治、經濟與國防等相關人士為目標對象來看,「全面啟動」行動背後的支持者可能是中型國家或是資源充裕的專業私人企業。
就基礎架構的周詳程度而言,這是一個大型的攻擊活動,目前所見還只是行動的開始。雖然鎖定的目標對象大多數位於俄羅斯或者是與俄羅斯有利害關係的人士,但還有許多來自全世界其他不同國家的對象,而且攻擊行動可能擴大至全球。其攻擊架構是屬通用型,只要依據攻擊目的而稍加修改就可以應用於不同的攻擊行動。