全球獨家披露:中亞上空的情報刺客“黃金雕”APT組織

國際安全智庫發表於2019-11-22

故明君賢將,所以動而勝人,成功出於眾者,先知也。

——《孫子兵法》

【導語】近日,360威脅情報中心全球獨家捕獲了一起一直活躍在中亞地區,從未被外界知曉的APT組織,並將其命名為黃金雕(APT-C-34)。透過層層研究分析,我們發現這個有著哈薩克背景的組織,不僅向臭名昭著的軍火商Hacking Team採購“武器”,更為重要的是它還自主研發“網路軍火”。中亞內陸國家尚且能夠投入大量人力、物力、財力,聚焦網路情報收集,將網路戰上升到首要高度,足見在網路空間第五維世界裡,任何一個國家都在努力構建網路攻防軍事強國,而掌握關鍵性“軍火武器”也成為其重要途徑。 

在披露今天的主角APT組織黃金雕(APT-C-34)前,我們先介紹下對主角的發現,起著決定性作用的網路軍火商公司——Hacking Team。

知名網路軍火商反被“Hacked”,數萬噸“武器炸藥”被隨意領取

Hacking Team是一家向全世界出售商業網路武器的公司。它專注於開發網路監聽軟體,涵蓋幾乎所有桌面計算機和智慧手機。除提供監聽程式外,Hacking Team還提供能夠協助偷偷安裝監聽程式的未公開漏洞(0day),無國界記者組織曾將“HT”列為“網路敵人索引”。它的客戶不僅涵蓋各國的執法機構,甚至包括了聯合國武器禁運清單上的國家。

全球獨家披露:中亞上空的情報刺客“黃金雕”APT組織

然而,就在2015年7月5日,這家早已“聞名於世”的軍火商因被“Hacked”再次轟動全球。

400GB檔案被洩密,已經工程化的漏洞和後門程式碼一時間全部公開,包括Flash、Windows字型、IE、Chrome、Word、PPT、Excel、Android等諸多未公開0day漏洞,覆蓋大部分的桌面電腦和超過一半的智慧手機。

可以說,這次洩露不亞於將數萬噸TNT“軍火炸藥”的導火線公之於眾,國家乃至世界都處於一個隨時可能被“引爆”的處境中。

歷經此事,Hacking Team公司也被迫宣佈破產被併購。但這並不是故事結局,或者可以說是事件的開端。

2018烏俄大戰,“HT軍火”再現世,360全球首家披露黃金雕(APT-C-34)組織

歷經一段時間的沉寂,很快Hacking Team因2018年11月烏俄兩國突發的“刻赤海峽”事件而重回大眾視野。

全球獨家披露:中亞上空的情報刺客“黃金雕”APT組織

在此危機中,360高階威脅應對團隊率先發現了一起針對俄羅斯總統辦公室所屬的醫療機構的APT攻擊行動。更為重要的是,這起被命名為“毒針”的APT行動使用了Flash 0day漏洞CVE-2018-15982 ,而其後門程式正是出自Hacking Team。
不難推斷,Hacking Team的生意並沒有消失,“毒針”行動背後的APT組織仍在採購商業網路武器。而這,也啟發了網路安全專家的持續追蹤

驚喜的是,就在對Hacking Team網路武器的深入溯源中,一支活躍在中亞地區,未被披露過的俄語系APT組織也“浮出水面”。由於這是360全球首次發現披露,該團隊參照中亞地區擅長馴養獵鷹狩獵的習俗特性,將該組織命名為黃金雕(APT-C-34)。

網路武器的應用早已不分國界與大小,APT組織黃金雕幕後“金主”竟是該國?

似乎以往我們所熟知的APT組織多隸屬於美國、俄羅斯、以色列這樣的網路大國、網路強國,然而在此次APT歸屬分析中,我們發現它竟隸屬於“名不見經傳”的國家——哈薩克。
足見,網路武器的應用早已不分國界與大小,任何一個國家都在努力通過掌握關鍵性“軍火武器”這一途徑,構建網路攻防軍事強國。

 01.對該組織基礎設施佈局及受害者分析:

報告顯示:黃金雕(APT-C-34)組織的基礎設施和絕大部分的受害者均集中在哈薩克國境內,涉及各行各業,包括哈國境內:教育行業、政府機關人員、科研人員、媒體工作人員、部分商務工業、軍方人員、宗教人員、政府異見人士和外交人員等。其中也波及到了我國駐哈薩克境內的機構和人員。

 02.對該組織主要攻擊方式分析:

而在攻擊方式上:黃金雕(APT-C-34)組織除了常規的社會工程學攻擊手段,也喜歡使用物理接觸的手段進行攻擊,同時還採購了無線電硬體攻擊裝置。

a.社會工程學攻擊方式:

該組織製作了大量的偽裝的文件和圖片檔案作為魚叉攻擊的誘餌,這些檔案通過偽裝圖示誘導使用者點選,這些檔案實際上是EXE和SRC字尾的可執行檔案,同時會釋放彈出真正的文件和圖片欺騙受害者。

全球獨家披露:中亞上空的情報刺客“黃金雕”APT組織

有意思的是,誘餌文件的內容五花八門,有華為路由器的說明書、偽造的簡歷和三星手機說明書等。

全球獨家披露:中亞上空的情報刺客“黃金雕”APT組織

全球獨家披露:中亞上空的情報刺客“黃金雕”APT組織

此外,其中部分誘餌程式安裝包指令碼會自動將程式新增到登錄檔項中,實現自啟動駐留。

全球獨家披露:中亞上空的情報刺客“黃金雕”APT組織

b.物理接觸攻擊方式

U盤一直是攻擊者很喜歡的攻擊載體。黃金雕(APT-C-34)組織也不例外。報告顯示:部分受害者曾經接入過包含惡意程式和安裝指令碼的U盤。如下圖所示,其中以install開頭的bat檔案為惡意程式安裝指令碼。

全球獨家披露:中亞上空的情報刺客“黃金雕”APT組織

同時,攻擊者也使用了Hacking Team的物理攻擊套件,該套件需要通過惡意硬體物理接觸目標機器,在系統引導啟動前根據系統型別植入惡意程式,支援Win、Mac和Linux平臺。

全球獨家披露:中亞上空的情報刺客“黃金雕”APT組織

c.無線電監聽攻擊方式

除以上攻擊方式外,黃金雕(APT-C-34)組織還採購了一家俄羅斯公司“YURION”的硬體裝置產品(該公司是一家安全防務公司,專門出售無線電監聽、竊聽等裝置)。有證據顯示:該組織很有可能使用“YURION”公司的一些特殊硬體裝置直接對目標的通訊等訊號進行擷取監聽。

全球獨家披露:中亞上空的情報刺客“黃金雕”APT組織

03.對該組織核心後門程式技術說明文件分析:

通過對該組織核心後門程式Harpoon的技術說明文件分析看,該工具被命名為Гарпун(Harpoon),中文實際含義是魚叉,後門的版本號為5.0。該文件的內容大量引用標註了哈薩克城市名和哈薩克政府機構名,顯示該後門程式疑似是由哈薩克的政府機構支援開發。

全球獨家披露:中亞上空的情報刺客“黃金雕”APT組織

然而,其實早在2015年,Hacking Team被攻擊洩露資料後,哈薩克的國家情報機關就被證實採購了Hacking Team的軟體。在這份報告中,展示了哈薩克曾與Hacking Team官方來往郵件,以尋求網路武器的技術支援。

全球獨家披露:中亞上空的情報刺客“黃金雕”APT組織

這裡有個非常有意思的點,講的是:在疑似針對中國的攻擊中,其涉及的後門程式因360的查殺導致目標不上線的案例。

全球獨家披露:中亞上空的情報刺客“黃金雕”APT組織

為收集網路情報,哈薩克煞費苦心,不止向網路軍火商採購武器,還自主研發

《孫子兵法》有云:故明君賢將,所以動而勝人,成功出於眾者,先知也。開宗明義地指明,“先知”是“動而勝人”的先決條件,指出“情報”在戰爭中發揮著舉足輕重的作用,甚至是對戰役的勝負有著決定性作用。可謂,知己知彼,方能百戰不殆。
傳統戰爭如此,網路戰亦然。網路情報的收集獲取同樣是贏得網路戰勝利的重要先決條件。而在此報告中,我們發現,為收集重要網路情報,哈薩克可是“煞費苦心”,它不僅向網路軍火商Hacking Team採購網路武器,同時還自主研發,已達其目的。

01. 多渠道採購網路軍火武器

採購網路軍火商Hacking Team的商業後門。該組織購買了Hacking Team的遠端控制軟體Remote Control System(RCS),並有完整的控制端軟體。

值得注意的是,這裡的版本號均為10以上,而Hacking Team在2015年洩露的RCS版本號為9.6。在這裡,我們有個大膽的推測:黃金雕組織與Hacking Team的“軍火貿易”或許一直都在,或者黃金雕組織已在原有“武器”上進行了“二次加工”,對“武器”進行了“全新升級”。 同時,不止於採購Hacking Team的網路武器,該組織也是著名的移動手機網路軍火商 NSO Group的客戶。

在黃金雕(APT-C-34)的基礎設施中,顯示含有NSO最出名的網路武器pegasus的培訓文件,其中還包括與NSO相關的合同資訊,採購時間疑似在2018年。依靠pegasus網路武器,黃金雕(APT-C-34)組織應該具備針對iPhone、Android等移動裝置使用0day漏洞的高階入侵能力。

全球獨家披露:中亞上空的情報刺客“黃金雕”APT組織

02.自主研發網路軍火武器

更為需要引起注意的是,就是哈薩克這樣一國家,它卻早已有了自主研發網路軍火武器的意識與能力,甚至可以說其能力不容小覷。
Haroon便是黃金雕(APT-C-34)組織自主研發的一款針對特定使用者的後門程式,使用Delphi實現。通過對該後門的說明手冊分析,發現該後門具備強大的資訊收集功能,包括:螢幕定時截圖、錄音、剪下板記錄、鍵盤記錄、特定字尾名檔案偷取等功能。

全球獨家披露:中亞上空的情報刺客“黃金雕”APT組織

不單採購了大量網路軍火武器還有實力自主研發,黃金雕(APT-C-34)組織的背後實體機構——哈薩克,正不惜投入了大量的人力、物力和財力在支援其運作。中亞內陸國家尚且擁有足夠意識重視網路情報收集,將網路戰上升到首要高度,足見在網路空間第五維世界裡,任何一個國家都在努力構建網路攻防軍事強國。

同時,我們還應看到:以漏洞為主的網路武器日益受到各國重視,某些國家政府與網路武器軍火商交易的腳步從未停歇,網路軍火交易正進行地如火如荼,全球面臨著前所未有巨大安全威脅與挑戰。

面對如此緊張的局勢裡,在這個沒有網路安全就沒有國家安全的大背景下,我們又該如何自處呢?


寫在最後:

關於哈薩克:其在民族問題上存在很大隱患。哈薩克國內目前有125個民族,其中主體民族哈薩克族佔64.6%,俄羅斯族佔到了22.3%,哈薩克族多信仰伊斯蘭教(遜尼派),俄羅斯族多信仰東正教。一旦處理不好與美、俄的關係,哈薩克很有可能面臨烏克蘭式的命運。所以,通過網路武器等方式獲取對該國有用的價值情報,對於該國的政治穩定而言,具有重要的軍事戰略意義。

全球首次發現黃金雕(APT-C-34)的360威脅情報中心及協助分析的360烽火實驗室

關於360高階威脅應對團隊(360 ATA Team):專注於APT攻擊、0day漏洞等高階威脅攻擊的應急響應團隊,團隊主要技術領域包括高階威脅沙盒、0day漏洞探針技術和基於大資料的高階威脅攻擊追蹤溯源。在全球範圍內率先發現捕獲了包括雙殺、噩夢公式、毒針等在內的數十個在野0day漏洞攻擊,獨家披露了多個針對中國的APT組織的高階行動,團隊多人上榜微軟TOP100白帽黑客榜,樹立了360在威脅情報、0day漏洞發現、防禦和處置領域的核心競爭力。

關於360烽火實驗室:致力於Android病毒分析、移動黑產研究、移動威脅預警以及Android漏洞挖掘等移動安全領域及Android安全生態的深度研究。作為全球頂級移動安全生態研究實驗室,360烽火實驗室在全球範圍內首發了多篇具備國際影響力的Android木馬分析報告和Android木馬黑色產業鏈研究報告。實驗室在為360手機衛士、360手機急救箱、360手機助手等提供核心安全資料和頑固木馬清除解決方案的同時,也為上百家國內外廠商、應用商店等合作伙伴提供了移動應用安全檢測服務,全方位守護移動安全。 

此外,更多《盤旋在中亞地區的飛影-黃金雕(APT-C-34)組織攻擊活動揭露》報告詳情請查閱。http://zt.360.cn/1101061855.php?dtid=1101062514&did=210975667



本文為國際安全智庫作品 (微信公眾號:guoji-anquanzhiku)

如需轉載,請標註文章來源於:國際安全智庫



全球獨家披露:中亞上空的情報刺客“黃金雕”APT組織

相關文章