安全路透社
当前位置:安全路透社 > 网络转载 > 正文

Longhorn黑客组织就来自中情局:CIA已经针对16个国家发起过攻击

cia-100712378-large.jpg

赛门铁克的研究人员最近发现,维基解密近期公开的CIA泄露文档:Vault 7提到的工具的确在先前的攻击中使用过。从赛门铁克的调查来看,攻击瞄准了至少16个国家的40个目标。赛门铁克先前就曾经关注过这个神秘的APT黑客组织,该黑客组织当时被赛门铁克命名为Longhorn(长牛角)。

赛门铁克特别提到,Longhorn组织所用黑客工具、策略与Vault 7文档中提到的非常相似。Longhorn小组所用的加密协议也与Vault 7文档中的内容不谋而合,并且Vault文档中提到的一些规避检测方式也曾为Longhorn所用。由于这些相似性,赛门铁克的研究人员推测,这些工具就是来自同一组织。

至少从2011年开始,Longhorn就一直处于活跃状态。除了0day漏洞以外,它还使用了一系列后门木马来对目标进行哦攻击。除了金融,电信,能源,航空航天,信息技术,教育和自然资源部门的目标之外,Longhorn已经渗透了政府和国际机构。所有这些组织都可能是国家黑客的目标。

Longhorn已经在16个国家感染了40个目标,范围覆盖中东、欧洲、亚洲和非洲。不过赛门铁克并未指名是哪些国家和机构组织遭遇攻击。 据说曾经有一次,一台位于美国的计算机遭到入侵,但是在感染之后,卸载程序在数小时后启动,这可能表明这个受害者是无意中感染的。

与Vault 7的联系

Vault 7文档揭露了CIA恶意软件的规格和使用要求。其中一份文档记载了一个名叫Fluxwire的恶意软件的开发时间线,包括新功能的加入时间等。

而赛门铁克发现的一种名为Corentry的恶意软件,其早期版本曾经引用了Fluxwire程序数据库文件(PDB)路径。Vault 7文档将移除PDB路径写入了3.5.0版的changelog中。

到了2014年,Corentry开始使用GCC编译。根据Vault 7文档,2015年2月25日,Fluxwire 3.3.0版开始使用MSVC编译器。也就是说,Vault 7文档中记载的改变从赛门铁克截获的病毒样本中体现了出来——Fluxware应该就是赛门铁克捕获的Corentry了。

table.png

Corentry版本号和编译日期与Fluxwire 版本号编译日期比较

还有一份Vault 7文档则记录了Fire和Forget,这是由Archangel生成的对用户模式进行注入的payload。Payload的具体参数和加载的interface与另一款Longhorn使用的黑客工具Backdoor.Plexor非常匹配。

第三份相关文件概述了恶意软件应遵循的加密协议。包括在SSL中使用内部加密防止中间人(MITM)攻击,每次连接换一次密钥,以及使用带有32位密钥的AES加密。这些要求所有Longhorn工具中所遵循的加密方案相一致。

其他Vault 7文档记载的内容还包括,使用实时传输协议(RTP)作为与C&C服务器通信的手段,采用将“使用后擦除”作为标准,内存中的字符串去混淆、使用唯一的字符串混淆时间密钥,以及使用涉及重命名和重写的安全擦除协议。赛门铁克注意到,Longhorn所使用的工具遵循了上述所有规范。 虽然其他恶意软件也会使用到其中一些做法,但事Longhorn遵循了所有规范,这点很可疑。

Longhorn的黑客行动

尽管Longhorn自2011年开始活跃,有些证据却能将他们的活动时间追溯到2007年。Longhorn 在2014年因使用CVE-2014-4148而进入赛门铁克视野,这个0day漏洞exp是嵌入在Word文档中的,以Plexor感染目标。

这个恶意软件显然出自十分高超的黑客组织,除了使用了0day漏洞,从软件中可以看出,黑客对要入侵的目标环境十分了解。

到目前为止,赛门铁克发现Longhorn攻击了16个不同国家的40个目标。 Longhorn对这些目标使用了四种不同的恶意软件工具:Corentry,Plexor,Backdoor.Trojan.LH1和Backdoor.Trojan.LH2。

在目标部署恶意软件时,Longhorn黑客小组会预先进行配置,简单来说就是定一个代号,这个代号可以用来区分回传给攻击者的C&C域名和IP地址。代号通常是一些大写的单词,引用时的参数为“groupid”和“siteid”。通过观察40个被攻击目标的代号,赛门铁克发现,这些名称的来源包括电影、角色、食物或者音乐。例如为了致敬The Police乐队,黑客使用了REDLIGHT和ROXANNE作为代号。

Longhorn的恶意软件中包含一个很长的列表,列表中的是一些用于远程控制感染电脑的命令。另外,大部分的恶意软件都可以通过增加插件和模块进行定制。

Longhorn的恶意软件似乎是专门针对那些大型攻击的。软件中包含细致的系统指纹识别、和数据渗漏。为了保证不被检测出来,病毒只在选定的时间进行外部通信,上传文件时设置了限速,通信间隔进行了随机化。

至于C&C服务器,Longhorn会对每个目标设置单独的域名和IP。那些域名应该是由黑客注册的,不过使用了隐私保护服务。而这些域名指向的是正规公司提供的VPS机房。与C&C服务器通信时,病毒会使用HTTPS防止内容被检测出来。

在Vault 7泄露事件之前,赛门铁克就曾评估称Longhorn资源雄厚,评估的依据是它的目标遍布全球,并且使用的工具、0day相对高级。根据软件时间戳和域名注册时间来看,这个黑客组织似乎在周一至周五的工作日工作,这与“国家黑客”相吻合。

ZK_ScoobySnacks-960x480_72dpi1.jpg

赛门铁克的分析发现多处迹象表明,Longhorn黑客组织来自一个说英语的北美国家。恶意软件中使用了MTWRFSU (Monday Tuesday Wednesday ThuRsday Friday Saturday SUnday)来配置与C&C服务器通信的时间。这样的缩写在北美很常见。另外一些代码也具备北美国家特征,如SCOOBYSNACK(如上图所示)。而根据编译时间判断,黑客应该位于美洲。

基于以上这些特征,包括使用的工具,手法、步骤等特征,我们几乎可以认定,之前的Longhorn黑客组织与CIA有很大联系。

*参考来源:Symantec,本文作者:Sphinx

未经允许不得转载:安全路透社 » Longhorn黑客组织就来自中情局:CIA已经针对16个国家发起过攻击

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册