地緣束縛下的中亞網絡戰——360安全大腦獨家披露哈薩克斯坦APT攻擊

2019-11-22 16430人圍觀 活動

近幾年,拉撒路、摩訶草、海蓮花等全球APT攻擊日益活躍,然而國家級APT組織,僅僅是世界列強的禁臠和專利嗎?事實并非如此。近日,360安全大腦所捕獲的黃金雕組織(APT-C-34),正是中亞內陸國也能構建國家級網絡部隊,并挑起網絡戰爭的現實寫照。

自2015年至今,一個外界從不知曉的俄語系APT組織,持續針對中亞地區進行有組織、有計劃的定向攻擊,直到360安全大腦全球首次將其捕獲,該APT組織才漸露真容。而360安全大腦根據中亞地區擅長馴養獵鷹狩獵的習俗特性,將該組織命名為黃金雕(APT-C-34)。

360安全大腦獨家發布了《盤旋在中亞地區的飛影-黃金雕(APT-C-34)組織攻擊活動揭露》,該完整報告詳細披露了黃金雕組織(APT-C-34)的歷史和正在進行的活動,涵蓋攻擊活動范圍、典型受害者分析、主要攻擊方式、核心后門工具,以及關聯歸屬分析等。從報告結果來看,其深刻勾勒出一個中亞內陸國如何借助網絡攻防技術,采購或研發網絡武器,進行信息情報與機密竊取;進而在網絡戰大安全時代,擺脫地緣束縛與局限,全面掌握網絡空間的控制主權。

操縱黃金雕(APT-C-34)的幕后勢力:哈薩克斯坦

網絡戰時代,諸如中亞地區等地緣條件較差的國家,難以影響大國的決策,但這并不意味著他們在網絡空間也任人支配。360安全大腦對黃金雕(APT-C-34)組織的攻擊鏈路進行分析,發掘出了該組織的基礎設施、攻擊數據和大量的技術資料,根據我們的技術分析和數據顯示,該組織的幕后勢力都指向了哈薩克斯坦政府。

繼而,報告中的種種跡象表明,黃金雕(APT-C-34)組織攻擊行動不是個人或一般組織能夠做到的,其組織背后是由哈薩克斯坦國家實體操控,并為此投入了大量的人力、物力和財力支持其運作,不僅自己研發,甚至采購了大量的網絡軍火武器,這是一支具有高度組織化、專業化的國家級網軍力量。某種意義上說,這或許是哈薩克斯坦不想受制于實力薄弱與資源匱乏等與生俱來的劣勢,在網絡戰時代,不斷調整資源配置,重新定位安防策略、方式與手段間的平衡。

進一步地,根據360安全大腦所披露分析報告,可以看清黃金雕(APT-C-34)組織的攻擊意圖——情報竊取。基于360安全大腦就黃金雕組織(APT-C-34)的攻擊目標人群進行分析,絕大部分受害者都集中在哈薩克斯坦國境內,主要涉及政府機關、航空航天、教育、軍方、媒體和政府異見人士等,除此以外,還有部分中國背景的受害者,涉及我方與哈薩克合作項目組和駐哈教育機構,而極少數的受害者位于我國西北部地區。

再結合360安全大腦對黃金雕組織(APT-C-34)攻擊行為的深度溯源,發現了該組織從受害者計算機上竊取大量機密文檔和敏感數據,其目的直指收集情報,監控哈境內的各重要行業的關鍵人群。-

典型的中國受害者,某駐哈教育機構的中方人員。

09.jpg

例如黃金雕入侵哈薩克特斯坦航空航天科研機構,竊取的項目研發文件

08.jpg

例如入侵哈薩克斯坦國教育和科研機構工會成員電腦,竊取會議記錄文檔

07.jpg

網戰意識前置:采購Hacking Team軍火,旨在贏取戰場主動

360安全大腦進一步深度溯源,并在報告中特別提到,哈薩克斯坦所扶植的黃金雕(APT-C-34)組織不僅自主研發網絡武器,甚至專門向兩大世界網絡武器巨頭HackingTeam和NSO購買商業間諜軟件。換言之,哈薩克斯坦的網絡戰危機意識及網絡武器庫完備程度已經超乎想象。

眾所周知,意大利網絡武器軍火商Hacking Team,是為數不多的幾家向全世界出售商業網絡武器的公司之一。2015年7月5日,Hacking Team遭遇了大型數據攻擊泄漏事件,已經工程化的漏洞和后門產品代碼幾乎被全部公開,Hacking Team公司被迫宣布破產。2015年以后,有關HackingTeam的活動突然銷聲匿跡。

然而事實上,Hacking Team并未中止開發和交易網絡武器。繼2018年360安全大腦意外發現了一起針對俄羅斯的APT攻擊“毒針”行動,發現其使用了Hacking Team網絡武器后;無獨有偶,今年360安全大腦所發現的黃金雕(APT-C-34),也是HackingTeam新版本后門程序的使用者。

除此以外,在黃金雕(APT-C-34)的基礎設施中,360安全大腦還發現了NSO最出名的網絡武器pegasus的培訓文檔,其中還包括與NSO相關的合同信息,采購時間疑似在2018年。依靠pegasus網絡武器,黃金雕(APT-C-34)組織應該具備針對Iphone、Android等移動設備使用0day漏洞的高級入侵能力。

06.jpg

這一再表明,風起于青萍之末,網絡戰爭正在一步一步地向我們走近,這絕不是危言聳聽。而哈薩克斯坦縱然是中亞的內陸國,但或已有了深刻的網戰危機感,國家戰略從傳統熱戰、經貿戰主動轉向網絡戰,并采購先進網絡武器,汲取大國先進網絡攻防技術,舉起網絡軍事戰爭大棒,旨在先發制人取得了戰場主動。

黃金雕(APT-C-34)攻擊手段:不亞于網絡大國的精細化作戰

值得一提的是,360安全大腦追蹤發現,黃金雕(APT-C-34)采用了靈活多樣的攻擊方式,其手段不亞于現今任何網絡大國。除了常規的社會工程學攻擊手段,也喜歡物理接觸的手段進行攻擊,同時還采購了無線電硬件攻擊設備。

(一)社會工程學攻擊方式:

該組織制作了五花八門的偽裝文檔和圖片作為魚叉攻擊的誘餌,這些文件通過偽裝圖標誘導用戶點擊,這些文件實際上是EXE和SRC后綴的可執行文件,同時會釋放彈出真正的文檔和圖片欺騙受害者。

05.jpg

甚至包括華為路由器的說明書、偽造的簡歷和三星收集說明書等:

04.jpg111.jpg

(各種稀奇古怪的誘餌,包括華為路由器說明書、偽造的簡歷等)

(二)物理接觸攻擊方式:

U盤一直是攻擊者很喜歡的攻擊載體。黃金雕(APT-C-34)組織也不例外。報告顯示:部分受害者曾經接入過包含惡意程序和安裝腳本的U盤。如下圖所示,其中以install開頭的bat文件為惡意程序安裝腳本。

121.jpg

同時,攻擊者也使用了HackingTeam的物理攻擊套件,該套件需要通過惡意硬件物理接觸目標機器,在系統引導啟動前根據系統類型植入惡意程序,支持Win、Mac和Linux平臺。

131.jpg

(三)無線電監聽攻擊方式

除以上攻擊方式外,黃金雕組織還采購了一家俄羅斯安全防務公司“YURION”的硬件設備產品,有證據顯示,該組織很有可能使用“YURION”公司的一些特殊硬件設備直接對目標的通訊等信號進行截取監聽。

141.jpg

哈國模式帶來的反思:國家級網絡部隊是反制利劍

在洲際彈道導彈、核武器、航空設備、大型基礎工業等成本巨大的防御軍事面前,難道中小型國只能望而卻步?如何實現反制與超越,在新時代博弈中穩守乃至擴大可運籌的空間,哈薩克斯坦的網絡攻防戰略模式,或許透露著一種政治遠見及智慧:

一方面,網絡戰爭是全域性戰爭,不分大國小國;而國家級網絡部隊是護衛國家網絡空間安全的盾牌,又是小國手中可以刺出的利劍。對于小國而言,頂尖的網絡部隊是國之利刃,尤其在應對網絡戰全面打響的大安全時代,能讓他們不會再受到他國的威脅與掣肘。

另一方面,前有敘利亞電子軍(SEA),后有哈薩克斯坦的黃金雕(APT-C-34)組織,這都在揭示著,國家級網絡部隊早已不是美、俄、伊等大國的專利,而中小型國家暗中籌建各自國家級網絡軍事力量,或許要比我們想象的早得多。

全球首次發現黃金雕(APT-C-34)的360威脅情報中心及協助分析的360烽火實驗室

關于360高級威脅應對團隊(360 ATA Team) :專注于APT攻擊、0day漏洞等高級威脅攻擊的應急響應團隊,團隊主要技術領域包括高級威脅沙盒、0day漏洞探針技術和基于大數據的高級威脅攻擊追蹤溯源。在全球范圍內率先發現捕獲了包括雙殺、噩夢公式、毒針等在內的數十個在野0day漏洞攻擊,獨家披露了多個針對中國的APT組織的高級行動,團隊多人上榜微軟TOP100白帽黑客榜,樹立了360在威脅情報、0day漏洞發現、防御和處置領域的核心競爭力。

關于360烽火實驗室,致力于Android病毒分析、移動黑產研究、移動威脅預警以及Android漏洞挖掘等移動安全領域及Android安全生態的深度研究。作為全球頂級移動安全生態研究實驗室,360烽火實驗室在全球范圍內首發了多篇具備國際影響力的Android木馬分析報告和Android木馬黑色產業鏈研究報告。實驗室在為360手機衛士、360手機急救箱、360手機助手等提供核心安全數據和頑固木馬清除解決方案的同時,也為上百家國內外廠商、應用商店等合作伙伴提供了移動應用安全檢測服務,全方位守護移動安全。

更多《盤旋在中亞地區的飛影-黃金雕(APT-C-34)組織攻擊活動揭露》報告詳情請查閱。原報告鏈接:http://zt.#/1101061855.php?dtid=1101062514&did=210975667

相關推薦
取消
Loading...

特別推薦

推薦關注

活動預告

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 什么app能玩二人麻将