近日，巴基斯坦空军成为一次恶意网络攻击活动的目标，据悉，其幕后攻击者疑似得到了某中东民族国家政府的资助。

安全研究机构Cylance本周表示，这个“国有”黑客组织（研究人员称之为“White公司”）一直致力于实现侵入巴基斯坦军队内部网络系统的长期目标，这一攻击活动被命名为“Shaheen行动”。

Shaheen行动

Cylance声称在过去一年中，White公司一直以空军部队成员为目标。Cylance发布的报告将此次Shaheen行动具体分为两个阶段。

第一阶段需要进行网络钓鱼活动，攻击者发送包含远程访问特洛伊木马的网络钓鱼电子邮件，其中30个恶意文本文件被分发给与巴基斯坦军方有某种联系的目标对象。Cylance表示，这些文件巧妙地引用了与其目标相关的主题，使它们看起来无害。

如果受害者打开恶意文件，就进入了攻击活动的第二阶段。文档将执行shellcode——用低级计算机语言编写的指令——这将导致感染设备上自动安装日志记录，以及从外部源下载实际的C2恶意软件负载。研究人员表示，这些外部资源原本是合法的巴基斯坦网站。这意味着这些网站可能已被盗用，并且他们的域名在不知不觉中被用于托管White公司的恶意软件。

第二阶段生成恶意软件路径的代码

Shaheen行动中，最初发送的是带有恶意网站链接的网络钓鱼电子邮件，之后发送的变成了附有恶意Word文档的电子邮件。研究人员发现，在这两种情况下，这些电子邮件的主题都刻意与目标相关：巴基斯坦空军、巴基斯坦政府、驻巴基斯坦的中国军队和顾问。

Cylance表示，这些恶意文件被用作简单的远程访问特洛伊木马（RAT）注入目标系统，两个阶段的RAT都能够部署恶意软件，窃取按键和凭据等数据、远程访问桌面并获取麦克风和摄像头访问权限。

尽管Cylance无法精确统计所有网络钓鱼电子邮件的去向，以及钓鱼成功率，但可以肯定的是巴基斯坦空军是Shaheen行动的主要目标。“这可以通过邮件/文档文件名的首要主题看出，诱饵文件的内容以军事为主题，攻击倾向显而易见。”

一旦被感染，恶意软件就会掩盖其在多个安装层中分层有效负载的活动踪迹，并规避防病毒软件检测。目前Sophos、ESET、卡巴斯基、BitDefender、Avira、Avast、AVG和Quickheal都无法检测到这一恶意软件包。但是在某个时刻，恶意软件故意以不明原因暴露自己。Cylance情报研究副总裁Josh Lemos认为，这可能是White公司的“调虎离山之计”——转移调查人员的注意力，攻击者可以进入网络系统的另一个区域实施其真正目的。

疑似民族国家政府资助

研究人员认为，Shaheen行动的幕后攻击者White公司是一个由民族国家政府资助的黑客团体，因此拥有充足的资源来开展长期间谍活动。但是，有一些迹象表明White公司的部分技术人员是由美国培训或之前为美国情报部门工作的。

对于Cylance来说，确定其背后的国家政府相当困难，因为世界上有兴趣监控巴基斯坦空军部队的国家政府实在不在少数。Cylance报告指出这与巴基斯坦自身国情密切相关，巴基斯坦是一个动荡不安却拥有核武器的国家，其内部政治动乱由来已久。巴基斯坦在地缘政治棋盘上的位置使其成为所有拥有完善网络项目的国家的重点关注对象，如五眼联盟国家（美国、英国、澳大利亚、加拿大、新西兰）、中国、俄罗斯、伊朗、朝鲜和以色列。Shaheen行动同样也引起了印度和海湾国家等新兴网络大国的关注。

类似攻击行动已有先例

2017年9月，网络安全公司赛门铁克的研究人员发现了一起针对印度和巴基斯坦的网络间谍活动，攻击活动疑似由国家资助，且最早可以追溯到2016年10月。

据媒体透露，攻击活动似乎将目标集中在了南亚地区的政府、军事等组织机构，威胁到了其在网络安全问题上的利益。攻击活动很可能是由多个黑客团体进行的，根据其所采用的技术手段和战略来看，安全研究人员判断这些团体可能是由“相似的目标或同一赞助者”操控，这一操控者可能是一个国家，也有可能是一个民族。