大家好,我是零日情報局。
本文首發於公眾號零日情報局,微信ID:lingriqingbaoju。
這幾天,有安全公司一次性披露了伊朗APT組織自建的21個專用VPN網路。
自建VPN不稀奇,稀奇的是一次追蹤到21個,甚至透過VPN網路,該組織的監聽動向、基礎架構、攻擊目標也都逐一浮出水面。
任誰也很難想到,這家駭客組織就是曾讓沙烏地阿拉伯國家石油公司癱瘓數週的APT33。
始於21個專用IP地址被捕捉
自建VPN卻意外暴露行蹤,其實是APT33聰明反被聰明誤。
所謂VPN,就是利用公用網路架設的專用網路。達到聯網目的同時,又能加密VPN伺服器和客戶機之間的通訊資料。多數駭客都喜歡用這種方式,隱藏真實IP地址和位置,以此躲避反追蹤。
APT33建立自己的專用VPN網路,也是出去隱藏的目的。畢竟從資料中心租用伺服器,再使用OpenVPN之類的開源軟體搭建專用VPN,並不複雜。想不到的是,原本用於隱藏的VPN網路,成了APT33暴露的關鍵。
相比於海量的商用VPN,自建VPN的數量相對少且明顯。安全研究員們只需留意那些特別的IP地址,就可以更快速地從中找到駭客組織,APT33就是這樣洩露了行蹤。
反倒是,那些APT33不相信的商業VPN網路,也許才能隱藏他們的行蹤。因為在海量的商用VPN網路中,安全研究員想找到APT33,和大海撈針沒什麼區別。
估計APT33也想不到,自己精心的隱藏策略卻直接暴露了行蹤。目前追蹤到的APT33關聯IP地址,已全部公佈出來,具體如下:
(21個APT33專用VPN網路IP地址)
繼而APT33的四層架構被起底
有了IP地址,能做的事情就多了。安全研究員們終於摸清了伊朗最複雜駭客組織APT33的基礎架構。這才發現,用以隱藏真實IP地址和位置的VPN網路,其實只是APT33與攻擊目標建立關聯的第一層關係。
(APT33與攻擊目標之間的4層基礎架構圖)
安全研究員透過手繪的方式,分享了APT33與目標之間的四層架構。
1.VPN:隱藏APT33真實IP地址的VPN定製網路;
2.Bot Controller layer:伺服器中間隔離層;
3.C&C Backend layer:管理惡意軟體殭屍網路的實際後端伺服器;
4.Proxy layer:隱藏受感染主機的雲伺服器,C&C伺服器。
顯而易見,多達四層的架構,其實是APT33精心打造的分層、隔離體系,只是沒想到第一層VPN網路就讓他們暴露了。
攻擊路徑目標再難隱藏
除此之外,安全研究員在追蹤VPN網路時,發現APT33攻擊路徑直指美國、中東地區。不僅從已披露專用VPN中,找到了定向瞄準石油行業供應鏈,專門監視中東石油勘探公司、軍事醫院,以及美國石油公司的網路,還發現了APT33攻擊路徑與核心目標。
2019年7月,APT33將Outlook漏洞武器化,透過魚叉式網路釣魚攻擊的方式,把惡意軟體植入到美國政府網站,並試圖從Outlook沙箱中逃脫,以及在網站底層作業系統上執行惡意程式碼,致使美國網路司令部全網釋出安全警報。
(美國網路司令部全網釋出安全警報)
2018年12月,APT33使用新版Shamoon惡意軟體,定向破壞義大利石油天然氣承包商Saipem公司網路,銷燬該公司10%的檔案,致使中東、印度、義大利、蘇格蘭石油交易系統遭受不同程度破壞。而義大利被牽扯進來,關鍵就在於該公司是沙特阿美石油公司的主要外國承包商。
(APT33使用Shamoon發起網路攻擊概況)
2012年8月,APT33利用Shamoon(DistTrack)磁碟擦除惡意軟體,惡意摧毀沙特阿美石油公司(Saudi Aramco)35,000多臺計算機資料,用燃燒的美國國旗影像替換全部資料,致使公司停擺數週,嚴重影響全球石油交易。
(APT33攻擊沙特阿美石油公司時間程式)
(APT33攻擊銷燬沙特阿美石油公司PC上四分之三資料)
從攻擊路徑與目標來看,APT33這家伊朗駭客組織,不僅緊盯死敵沙烏地阿拉伯,更一直試圖透過定向打擊石油系統、政府網路,進而報復性打擊沙烏地阿拉伯與美國。
零日反思
一直以來,APT威脅作為地緣政治、情報活動意圖下的網路間諜活動,長久且持續地威脅著政府、軍隊、外交、國防,乃至科研、能源以及國家基礎設施性質等諸多領域的安全。但想要在數以千萬計的惡意軟體中,保護組織團體免於APT攻擊,遠比想象的艱難。
此次VPN網路曝光APT33行蹤的事件,也許可以給我們帶來一些新的啟發,以便於今後追蹤防範APT攻擊。