與俄羅斯有關的駭客組織攻擊日本政府和企業

親俄駭客組織 NoName057(16) 以發動分散式阻斷服務(DDoS)攻擊而聞名

Photo Credit: Cyber Security News

繼上個月親俄羅斯駭客對台灣證交所及金控公司發動一系列攻擊之後,沒有平靜多少時日,東亞地區的網路環境又起漣漪。

上週以來,兩個親俄羅斯的駭客組織—「NoName057(16)」和「Russian Cyber Army Team」,對日本的物流、造船公司,以及政府和政治機構,發動了分散式阻斷服務(DDoS)攻擊。專家認為,這些攻擊的目的是施壓日本政府。這些攻擊發生的近因是日本國會增加國防預算,以及日本軍隊與區域盟國進行聯合軍事演習。

這兩個親俄羅斯的駭客組織自10月14日起,開始對日本的目標發動攻擊。根據網路監控公司 Netscout 的報告,超過一半的攻擊目標是物流、造船和製造業廠商。這些駭客組織,尤其是 NoName057(16),自俄羅斯入侵烏克蘭後,已經因為屢次攻擊烏克蘭以及其他歐洲的目標而聲名大噪。

而日本執政的自民黨的網站在上週二 (10/15) 遭受到 DDoS 攻擊,此次攻擊發生的時間恰逢為期 12 天的眾議院選舉競選期開始。眾議院在日本的議會制度中扮演著關鍵角色。

根據地方媒體的報導,包括地方政府網站在內的其他政府機構,也在同一天遭遇了DDoS攻擊,有些甚至造成系統斷線。

在這波最新的攻擊中,這些駭客組織將日本的工業和政府機構列為目標。Netscout 的威脅情報總監 Richard Hummel 談到,這些攻擊發生在俄羅斯外交部表達對日本軍事擴張態勢感到擔憂之後。

Hummel 說到:「日本上週剛進行完選舉,而新上任的領導人對俄羅斯持反對立場,並且明確表達支持烏克蘭,以及提供援助。日本也正在與美國軍隊進行聯合演習和導彈試射,這些都是會引起 NoName057 採取相應行動的區域性事件。」

隨著與中國和俄羅斯的地緣政治競爭加劇,日本正處於自二戰以來最大規模的軍事擴張中。2022年12月,日本公布了一個為期五年、總值3200億美元的軍事計畫,計畫中包含可直接攻擊中國、北韓和俄羅斯目標的遠程巡弋飛彈。這意味著日本已大幅移轉原先自我防衛之軍事政策,並且今年的國防支出增加了16%。

10月17日,日本副內閣官房長官青木一彥表示,政府正在著手調查這些 DDoS 攻擊事件

根據 Netscout 的分析,超過一半的攻擊是針對物流業和製造業,同時有將近三分之一則是鎖定日本的政府機構和政治組織。

該分析指出,這些俄羅斯駭客組織利用 DDoSia 殭屍網絡全部的攻擊能力,針對多個目標使用多種的攻擊向量進行攻擊。截止目前為止,已有約40個日本網域被鎖定,每個網域平均遭受到三波攻擊侵襲,而每次攻擊使用到四種不同的 DDoS 攻擊向量。

駭客活動與 DDoS 攻擊的復甦標示著最近攻擊形態上的轉變。過去,85%至90%的 DDoS 攻擊發生在遊戲領域,玩家會對其他玩家發動攻擊。然而,近幾年來,DDoS 攻擊被愈加地被用來支持某些政治目的或是獲取金錢利益,有時甚至同時兼具。

雖然 NoName057(16) 和 Russian Cyber Army Team 的行動目標明顯符合俄羅斯政府的優先考量,但這並不一定意味著他們直接受到俄羅斯軍事或情報機構的指揮。然而,這些攻擊多半針對那些對俄羅斯不友好的國家或組織,這倒是與這些駭客組織一貫的行動模式相符。

NoName057(16) 駭客組織相關的部分的入侵指標(IOCs):

09537f309659b85ad0b381b91411d073
0e1841b248ac882653a609b9f4299145
1cd8d1073dc4e1f5c7265e6658f32544
21efcdc2b49555540a61031d2d1a039b
275e1780aa1c02ca25e207be8af7e947
2e0cac71005bfb4ff3c984a1a1c24ab4
2f0cf3f278f4cbd7c871c0024bc2dd84
3bbe3f11899ed4b828f2c83644d7c04d
3e9f1400381037283004a1e982e23b1e
5850a3e79b615587a5efcba2a07cf0d8