3月14日,國家計算機病毒應急處理中心釋出了美國國家安全域性“NOPEN”遠端木馬技術分析報告,揭露美國情治部門的又一網路攻擊手段。近段時間,網際網路上美國針對其他國家和公民長期進行網路攻擊的新聞持續曝光,前幾天《環球時報》曝光美國國家安全域性(NSA)組織針對全球公民和他國龍頭企業長期攻擊的訊息還未塵埃落定,近日又爆出了美國國安局又一網路攻擊武器的重磅訊息,加上前幾年的稜鏡門事件,美國全球最大“駭客組織”的身份徹底實錘。
01
基本情況
國家計算機病毒應急處理中心對名為“NOPEN”的木馬工具進行了攻擊場景復現和技術分析。該木馬工具針對Unix/Linux平臺,可實現對目標的遠端控制。根據“影子經紀人”洩露的NSA內部檔案,該木馬工具為美國國家安全域性開發的網路武器。“NOPEN”木馬工具是一款功能強大的綜合型木馬工具,也是美國國家安全域性接入技術行動處(TAO)對外攻擊竊密所使用的主戰網路武器之一。“NOPEN”木馬工具編碼技術複雜、功能全面、隱蔽性強、適配多種處理器架構和作業系統,並且採用了外掛式結構,可以與其他網路武器或攻擊工具進行互動和協作,是典型的用於網路間諜活動的武器工具。
病毒危害:
“NOPEN”遠端木馬主要用於檔案竊取、系統提權、網路通訊重定向以及檢視目標裝置資訊等,一旦被植入受害者計算機,各種機密資料、敏感資訊“一覽無餘”,根據環球網報導,該款木馬已經控制全球各地海量的網際網路裝置,竊取了規模龐大的使用者隱私資料。
02
具體功能
“NOPEN”木馬工具包含客戶端“noclient”和服務端“noserver”兩部分,客戶端會採取傳送啟用包的方式與服務端建立連線,使用RSA演算法進行秘鑰協商,使用RC6演算法加密通訊流量。
該木馬工具設計複雜,支援功能眾多,主要包括以下功能:內網埠掃描、埠複用、建立隧道、檔案處理(上傳、下載、刪除、重新命名、計算校驗值)、目錄遍歷、郵件獲取、環境變數設定、程式獲取、自毀消痕等。
03
技術分析
經技術分析與研判,該木馬工具針對Unix/Linux平臺,可在主控端和受控端之間建立隱蔽加密通道,攻擊者可透過向目標傳送遠端指令,實現遠端獲取目標主機環境資訊、上傳/下載/建立/修改/刪除檔案、遠端執行命令、網路流量代理轉發、內網掃描、竊取電子郵件資訊、自毀等惡意功能。該木馬工具包含主控端(Client)和受控端(Server)兩個部分,具體分析結果詳見國家計算機病毒應急處理中心分析報告:
https://www.cverc.org.cn/head/zhaiyao/news20220218-1.htm
04
使用環境
“NOPEN”木馬工具支援在Linux、FreeBSD、SunOS、Solaris、JUNOS和HP-UX等各類作業系統上執行,同時相容i386、i486、i586、i686、i86pc、i86、SPARC、Alpha、x86_64、PPC、MIPS、ARM以及AMD64等多種體系架構,適用範圍較廣。根據監控情況,該木馬工具主要用於在受害單位內網中執行各類攻擊指令,結合其他取情、嗅探工具,級聯竊取核心資料。
05
植入方式
“NOPEN”木馬工具支援多種植入執行方式,包括手動植入、工具植入、自動化植入等,其中最常見的植入方式是結合遠端漏洞攻擊自動化植入至目標系統中,以便規避各種安全防護機制。此外,TAO還研發了一款名為Packrat的工具,可用於輔助植入“NOPEN”木馬工具,其主要功能為對“NOPEN”木馬工具進行壓縮、編碼、上傳和啟動。
06
使用控制方式
“NOPEN”木馬工具主要包括8個功能模組,每個模組支援多個命令操作,TAO主要使用該武器對受害機構網路內部的核心業務伺服器和關鍵網路裝置實施持久化控制。其主要使用方式為:攻擊者首先向安裝有“NOPEN”木馬工具的網內主機或裝置傳送特殊定製的啟用包,“NOPEN”木馬工具被啟用後回連至控制端,加密連線建立後,控制端傳送各類指令。
這段時間的俄烏衝突,剛讓普羅大眾見識到了輿論戰、網路戰的重要性,美國立馬給全世界導演了一出現實版“駭客帝國”。2017年“永恆之藍”波及全球100多個國家的攻擊事件至今還讓人記憶猶新,也讓美國網路NSA網路武器庫廣為人知,而此次國家計算機病毒應急處理中心披露的“NOPEN”木馬正是NSA武器庫中的主力裝備之一,值得警惕的是,在網路上很可能仍然存在大量沒有被發現的受害者,這些網路武器的洩露和擴散正在嚴重危害國際網際網路的整體安全。