盤桓中亞上空的情報刺探者——“黃金雕”(APT-C-34)組織

360安全衛士發表於2019-11-23

近幾年,拉撒路、摩訶草、海蓮花等全球APT攻擊日益活躍,然而國家級APT組織,僅僅是世界列強的禁臠和專利嗎?事實並非如此。近日,360安全大腦所捕獲的黃金雕組織(APT-C-34),正是中亞內陸國也能構建國家級網路部隊,並挑起網路戰爭的現實寫照。


自2015年至今,一個外界從不知曉的俄語系APT組織,持續針對中亞地區進行有組織、有計劃的定向攻擊,直到360安全大腦全球首次將其捕獲,該APT組織才漸露真容。而360安全大腦根據中亞地區擅長馴養獵鷹狩獵的習俗特性,將該組織命名為黃金雕(APT-C-34)。


360安全大腦獨家釋出了《盤旋在中亞地區的飛影-黃金雕(APT-C-34)組織攻擊活動揭露》,該完整報告詳細披露了黃金雕組織(APT-C-34)的歷史和正在進行的活動,涵蓋攻擊活動範圍、典型受害者分析、主要攻擊方式、核心後門工具,以及關聯歸屬分析等。從報告結果來看,其深刻勾勒出一箇中亞內陸國如何藉助網路攻防技術,採購或研發網路武器,進行資訊情報與機密竊取;進而在網路戰大安全時代,擺脫地緣束縛與侷限,全面掌握網路空間的控制主權。


操縱黃金雕(APT-C-34)的幕後勢力:

哈薩克     


網路戰時代,諸如中亞地區等地緣條件較差的國家,難以影響大國的決策,但這並不意味著他們在網路空間也任人支配。360安全大腦對黃金雕(APT-C-34)組織的攻擊鏈路進行分析,發掘出了該組織的基礎設施、攻擊資料和大量的技術資料,根據我們的技術分析和資料顯示,該組織的幕後勢力都指向了哈薩克政府。


繼而,報告中的種種跡象表明,黃金雕(APT-C-34)組織攻擊行動不是個人或一般組織能夠做到的,其組織背後是由哈薩克國家實體操控,併為此投入了大量的人力、物力和財力支援其運作,不僅自己研發,甚至採購了大量的網路軍火武器,這是一支具有高度組織化、專業化的國家級網軍力量。某種意義上說,這或許是哈薩克不想受制於實力薄弱與資源匱乏等與生俱來的劣勢,在網路戰時代,不斷調整資源配置,重新定位安防策略、方式與手段間的平衡。


進一步地,根據360安全大腦所披露分析報告,可以看清黃金雕(APT-C-34)組織的攻擊意圖——情報竊取。基於360安全大腦就黃金雕組織(APT-C-34)的攻擊目標人群進行分析,絕大部分受害者都集中在哈薩克國境內,主要涉及政府機關、航空航天、教育、軍方、媒體和政府異見人士等,除此以外,還有部分中國背景的受害者,涉及我方與哈薩克合作專案組和駐哈教育機構,而極少數的受害者位於我國西北部地區。


再結合360安全大腦對黃金雕組織(APT-C-34)攻擊行為的深度溯源,發現了該組織從受害者計算機上竊取大量機密文件和敏感資料,其目的直指收集情報,監控哈境內的各重要行業的關鍵人群。


典型的中國受害者,某駐哈教育機構的中方人員


盤桓中亞上空的情報刺探者——“黃金雕”(APT-C-34)組織


例如黃金雕入侵哈薩克特斯坦航空航天科研機構,竊取的專案研發檔案


盤桓中亞上空的情報刺探者——“黃金雕”(APT-C-34)組織


例如入侵哈薩克國教育和科研機構工會成員電腦,竊取會議記錄文件


盤桓中亞上空的情報刺探者——“黃金雕”(APT-C-34)組織


網戰意識前置:

採購Hacking Team軍火,旨在贏取戰場主動


360安全大腦進一步深度溯源,並在報告中特別提到,哈薩克所扶植的黃金雕(APT-C-34)組織不僅自主研發網路武器,甚至專門向兩大世界網路武器巨頭HackingTeam和NSO購買商業間諜軟體。換言之,哈薩克的網路戰危機意識及網路武器庫完備程度已經超乎想象。


眾所周知,義大利網路武器軍火商Hacking Team,是為數不多的幾家向全世界出售商業網路武器的公司之一。2015年7月5日,Hacking Team遭遇了大型資料攻擊洩漏事件,已經工程化的漏洞和後門產品程式碼幾乎被全部公開,Hacking Team公司被迫宣佈破產。2015年以後,有關HackingTeam的活動突然銷聲匿跡。


然而事實上,Hacking Team並未中止開發和交易網路武器。繼2018年360安全大腦意外發現了一起針對俄羅斯的APT攻擊“毒針”行動,發現其使用了Hacking Team網路武器後;無獨有偶,今年360安全大腦所發現的黃金雕(APT-C-34),也是HackingTeam新版本後門程式的使用者。


除此以外,在黃金雕(APT-C-34)的基礎設施中,360安全大腦還發現了NSO最出名的網路武器pegasus的培訓文件,其中還包括與NSO相關的合同資訊,採購時間疑似在2018年。依靠pegasus網路武器,黃金雕(APT-C-34)組織應該具備針對Iphone、Android等移動裝置使用0day漏洞的高階入侵能力。


盤桓中亞上空的情報刺探者——“黃金雕”(APT-C-34)組織


這一再表明,風起於青萍之末,網路戰爭正在一步一步地向我們走近,這絕不是危言聳聽。而哈薩克縱然是中亞的內陸國,但或已有了深刻的網戰危機感,國家戰略從傳統熱戰、經貿戰主動轉向網路戰,並採購先進網路武器,汲取大國先進網路攻防技術,舉起網路軍事戰爭大棒,旨在先發制人取得了戰場主動。


黃金雕(APT-C-34)攻擊手段:

不亞於網路大國的精細化作戰


值得一提的是,360安全大腦追蹤發現,黃金雕(APT-C-34)採用了靈活多樣的攻擊方式,其手段不亞於現今任何網路大國。除了常規的社會工程學攻擊手段,也喜歡物理接觸的手段進行攻擊,同時還採購了無線電硬體攻擊裝置。


(一)社會工程學攻擊方式:


該組織製作了五花八門的偽裝文件和圖片作為魚叉攻擊的誘餌,這些檔案通過偽裝圖示誘導使用者點選,這些檔案實際上是EXE和SRC字尾的可執行檔案,同時會釋放彈出真正的文件和圖片欺騙受害者。


盤桓中亞上空的情報刺探者——“黃金雕”(APT-C-34)組織


甚至包括華為路由器的說明書、偽造的簡歷和三星收集說明書等:


盤桓中亞上空的情報刺探者——“黃金雕”(APT-C-34)組織

盤桓中亞上空的情報刺探者——“黃金雕”(APT-C-34)組織

(各種稀奇古怪的誘餌,

包括華為路由器說明書、偽造的簡歷等)


(二)物理接觸攻擊方式:


U盤一直是攻擊者很喜歡的攻擊載體。黃金雕(APT-C-34)組織也不例外。報告顯示:部分受害者曾經接入過包含惡意程式和安裝指令碼的U盤。如下圖所示,其中以install開頭的bat檔案為惡意程式安裝指令碼。


盤桓中亞上空的情報刺探者——“黃金雕”(APT-C-34)組織


同時,攻擊者也使用了HackingTeam的物理攻擊套件,該套件需要通過惡意硬體物理接觸目標機器,在系統引導啟動前根據系統型別植入惡意程式,支援Win、Mac和Linux平臺。


盤桓中亞上空的情報刺探者——“黃金雕”(APT-C-34)組織


(三)無線電監聽攻擊方式


除以上攻擊方式外,黃金雕組織還採購了一家俄羅斯安全防務公司“YURION”的硬體裝置產品,有證據顯示,該組織很有可能使用“YURION”公司的一些特殊硬體裝置直接對目標的通訊等訊號進行擷取監聽。


盤桓中亞上空的情報刺探者——“黃金雕”(APT-C-34)組織


哈國模式帶來的反思:

國家級網路部隊是反制利劍


在洲際彈道導彈、核武器、航空裝置、大型基礎工業等成本巨大的防禦軍事面前,難道中小型國家只能望而卻步?如何實現反制與超越,在新時代博弈中穩守乃至擴大可運籌的空間,哈薩克的網路攻防戰略模式,或許透露著一種政治遠見及智慧:


一方面,網路戰爭是全域性戰爭,不分大國小國;而國家級網路部隊是護衛國家網路空間安全的盾牌,又是小國手中可以刺出的利劍。對於小國而言,頂尖的網路部隊是國之利刃,尤其在應對網路戰全面打響的大安全時代,能讓他們不會再受到他國的威脅與掣肘。


另一方面,前有敘利亞電子軍(SEA),後有哈薩克的黃金雕(APT-C-34)組織,這都在揭示著,國家級網路部隊早已不是美、俄、伊等大國的專利,而中小型國家暗中籌建、部署各自國家級網路軍事力量,或許要比我們想象的早得多。


全球首次發現黃金雕(APT-C-34)的

360威脅情報中心及協助分析的360烽火實驗室


關於360高階威脅應對團隊(360 ATA Team) :專注於APT攻擊、0day漏洞等高階威脅攻擊的應急響應團隊,團隊主要技術領域包括高階威脅沙盒、0day漏洞探針技術和基於大資料的高階威脅攻擊追蹤溯源。在全球範圍內率先發現捕獲了包括雙殺、噩夢公式、毒針等在內的數十個在野0day漏洞攻擊,獨家披露了多個針對中國的APT組織的高階行動,團隊多人上榜微軟TOP100白帽黑客榜,樹立了360在威脅情報、0day漏洞發現、防禦和處置領域的核心競爭力。


關於360烽火實驗室,致力於Android病毒分析、移動黑產研究、移動威脅預警以及Android漏洞挖掘等移動安全領域及Android安全生態的深度研究。作為全球頂級移動安全生態研究實驗室,360烽火實驗室在全球範圍內首發了多篇具備國際影響力的Android木馬分析報告和Android木馬黑色產業鏈研究報告。實驗室在為360手機衛士、360手機急救箱、360手機助手等提供核心安全資料和頑固木馬清除解決方案的同時,也為上百家國內外廠商、應用商店等合作伙伴提供了移動應用安全檢測服務,全方位守護移動安全。


更多內容,可點選《盤旋在中亞上空的陰影-黃金雕(APT-C-34)攻擊活動揭祕》閱讀報告原文。

相關文章