揭祕:和中國過不去的頂級網絡間諜“索倫之眼”
電影指環王中,失去肉身的魔王索倫幻化成了一隻魔眼,與魔戒相通,擁有着可以毀滅一切的力量。
2015年9月,卡巴斯基實驗室在其反針對性攻擊平台標記出了某個政府客户網絡中的異常流量特徵,經過分析後發現,有一個可疑的執行文件正在加載主機服務器中的內存。這個執行文件像是Windows密碼過濾器一樣,可以獲得所有明文管理密碼在內的所有敏感數據。
2016年8月中旬,賽門鐵克和卡巴斯基實驗室相繼發佈報告稱,追蹤到一個名為索倫之眼的網絡間諜平台。經過對比分析,360的追踪團隊也確認,與其獨立截獲的境外APT組織APT-C-16為同一組織。該組織專門針對俄羅斯、中國、比利時、伊朗、瑞典等國家發動高級持續性攻擊,即APT。
截止報告發出前,360威脅情報中心共發現國內有數十個被影響的單位機構,涉及多個行業,其中科研教育、軍事和基礎設施領域,水利、海洋等行業最多。
據卡巴斯基實驗室介紹,這個黑客組織自2010年起就開始活動,原名為“行客”(Strider)。之所以把他們命名為索倫之眼(ProjectSauron)是因在分析追蹤的文件時,發現代碼中帶有Sauron字符。進一步分析後發現,索倫之眼並不僅僅是一個黑客組織,而是一個擁有精密技術的頂級間諜模型平台。
索倫之眼的主要攻擊任務就是獲取加密的通訊信息。攻擊者使用一種整合了大量不同工具和技術的高級模塊化的網絡間諜平台,並可以讓長期從事間諜活動的黑客隨心所欲的利用上面的工具。平台上使用的攻擊策略主要有以下特點:
引用在進攻時針對每個特定的目標定製植入程序和基礎設施;
從不循環使用攻擊工具;
通常都是對目標網絡進行祕密和長期的間諜行動。
從卡巴斯基實驗室的報告中,可以發現索倫之眼行動所使用的攻擊工具和技巧如下:
引用獨特的數字足跡:核心植入程序具有不同的文件名和體積,並且針對每個目標特別定製——這使得其很難被檢測,因為某個目標感染痕跡對其他目標來説幾乎沒有任何價值。
運行於內存中:核心植入程序會利用合法軟件的升級腳本,以後門程序的形式在內存中運行,接收攻擊者的指令,下載最新模塊或執行命令。
偏好加密通訊:索倫之眼會積極搜索非常罕見的定製網絡加密軟件的相關信息。這種服務器端/客户端軟件被很多目標企業廣泛用於安全通訊、語言通訊、電子郵件傳輸和文檔交換。攻擊者對於加密軟件組件、密匙和配置文件頗感興趣,此外還會收集在節點之間中繼加密信息的服務器的地理位置。
基於腳本的靈活性:索倫之眼部署了一系列由高水準LUA腳本精心編排的低水準工具。在惡意軟件中使用LUA組件,這種組件非常罕見,之前僅在Flame和Animal Farm攻擊中出現過。
繞過隔離網閘:索倫之眼使用特別定製的優盤繞過隔離網閘。這些優盤包含隱藏空間,用户保存和隱藏竊取到的數據。
多種數據竊取機制:索倫之眼部署了多個竊取數據的途徑,包括合法渠道如電子郵件和DNS,將從受害者竊取到的信息偽裝成日常通訊流量。
索倫之眼幕後的黑客團伙都是經驗豐富的傳統攻擊者,並且曾花費過大量精力學習其他頂級黑客組織的攻擊技術,包括震網病毒的姊妹病毒(Duqu)、火焰病毒(Flame)、方程式組織(Equation)和高級間諜軟件Regin。這些黑客團伙在吸收了這些攻擊中最具創新的技術的同時,也吸取其被發現的教訓,不斷改善攻擊策略,有意刪除容易被監測的組件,確保其不易被發現。
卡巴斯基實驗室的安全專家介紹説,通常這種APT攻擊都具有十分明確的攻擊目的,即針對一個特定區域或某個特定的行業提取信息,在進行攻擊時,通常會導致一個區域內的幾個國家被感染,或是同行業的企業被感染。但索倫之眼似乎只是針對一些特定的國家進行攻擊活動,並專注於收集這幾個國家中任何企業、政府部門或個人的有重要價值的情報。
截止至報告發出前,卡巴斯基實驗室共發現了30多個已經被這個惡意軟件感染的網站,其中包括一家中國航空公司、比利時的一處大使館以及瑞典一家企業。根據卡巴斯基實驗室的分析,受攻擊組織通常在提供政府服務中扮演重要角色,這些組織包括:
除了這些政府機構與企業,他們還在公用網絡中各種開後門,針對個人進行鍵盤監聽、竊取用户憑證或密碼等個人隱私信息。
經過取證分析後,卡巴斯基實驗室得出結論:
引用這種攻擊行動的成本、複雜性、持續性以及以竊取同政府有關的敏感和機密信息為最終目標等特徵都表明,索倫之眼得到了政府的支持,或者政府有所參與。
卡巴斯基實驗室首席安全研究員 Vitaly Kamluk説,現在有很多依靠低成本現成工具的針對性攻擊,而索倫之眼則不同,這種攻擊行動主要依靠自制的受信任的工具以及定製的腳本代碼。且只使用控制服務器、加密密匙等獨特的指標,或借鑑其他威脅組織的領先技術。這種攻擊手法很新穎。
Vitaly Kamluk表示,要抵禦這種威脅的唯一手段,就是部署多層級的安全防護,通過大量的傳感器監測組織流程中出現的一場,同時藉助於威脅情報服務和取證分析查找固定的攻擊模式,儘管這種攻擊不會留下明顯的攻擊模式特徵。
資料來源:雷鋒網
作者/編輯:張丹