近年来,Lazarus、摩诃草、海莲花等全球APT攻击日趋活跃。
然而,国家级APT组织只是世界强国。
禁令和专利?但事实上并非如此。
近日,安全大脑抓获的金鹰组织(APT-C-34)就是中亚内陆国家也能建立国家级网络力量、挑起网络战争的现实写照。
今年以来,一个从未被外界所知的俄语APT组织持续对中亚地区进行有组织、有计划的定向攻击。
直到安全大脑首次捕获后,APT组织才逐渐暴露其真实身份。
安全大脑根据中亚地区驯服猎鹰狩猎的习惯特征,将该组织命名为金鹰(APT-C-34)。
安全大脑独家发布《盘旋在中亚地区的飞影-黄金雕(APT-C-34)组织攻击活动揭露》。
这份完整的报告详细介绍了金鹰组织(APT-C-34)的历史和正在进行的活动,涵盖攻击活动范围、典型受害者分析、主要攻击手段以及核心后门工具。
以及相关归因分析等。
从报告结果来看,深刻勾勒出一个中亚内陆国家如何利用网络攻防技术购买或研发网络武器窃取信息和秘密;进而,在网络战大安全时代,可以摆脱地域的束缚和限制,全面掌握网络。
对空间的控制主权。
操纵金鹰(APT-C-34)背后势力:哈萨克斯坦 在网络战时代,中亚等地缘条件较差的国家很难影响大国决策,但这并不意味着他们可以在网络空间做任何事情。
人们占主导地位。
安全大脑分析了金鹰(APT-C-34)组织的攻击环节,发现了该组织的基础设施、攻击数据和大量技术信息。
根据我们的技术分析和数据,该组织的幕后势力全部指向哈萨克斯坦政府。
随后,报告中的种种迹象表明,金鹰(APT-C-34)组织的攻击行动无法由个人或普通组织进行。
该组织背后由哈萨克斯坦国家实体控制,并为此投入了大量人力。
支撑其运作的物力财力,不仅是自身研发,还采购了大量的网络武器和武器。
这是一支组织严密、专业化的国家级网络力量。
从某种意义上来说,这或许是因为哈萨克斯坦不想承受实力弱、资源匮乏等先天劣势。
网络战争时代,不断调整资源配置,重新定位安全战略、方法手段之间的平衡。
此外,根据安全大脑披露的分析报告,我们可以清楚地看到金鹰(APT-C-34)组织的攻击意图——情报窃取。
根据安全大脑对金鹰组织(APT-C-34)目标群体的分析,大部分受害者集中在哈萨克斯坦,主要涉及政府机构、航天、教育、军队、媒体和政府异见人士之外,还有一些受害者有中国背景,涉及我们与哈萨克斯坦的合作项目组和哈萨克斯坦的教育机构,极少数受害者位于我国的西北地区。
结合安全大脑对金鹰组织(APT-C-34)攻击行为的深度追踪,发现该组织从受害者电脑中窃取了大量机密文档和敏感数据,其目的是直接收集情报并监视哈萨克斯坦各方。
重要行业的重点人群。
-l典型的中国受害者,哈萨克斯坦一所教育机构的中方工作人员。
l 比如,金鹰入侵哈萨克斯坦航天科研机构,窃取项目研发文件 l 比如,入侵哈萨克斯坦国家教育科研机构工会成员电脑,窃取会议纪要和文件网络战:购买HackingTeam武器,志在赢得战地主动安全大脑进一步追根溯源,在报告中特别提到,哈萨克斯坦支持的金鹰(APT-C-34)组织不仅自主研发网络武器,甚至还专门采购他们来自两个世界网络武器巨头HackingTeam和NSO。
商业间谍软件。
换句话说,哈萨克斯坦对网络战危机的认识以及其网络武器库的完备性已经超出了想象。
众所周知,意大利网络武器军火商 Hacking Team 是少数向世界销售商业网络武器的公司之一。
2019年7月5日,Hacking Team遭遇大规模数据攻击泄露。
几乎所有的工程漏洞和后门产品代码都被披露,Hacking Team 被迫宣布破产。
多年后,HackingTeam 的活动突然消失了。
但事实上,Hacking Team 并没有停止开发和交易网络武器。
去年,Security Brain 意外发现了针对俄罗斯的一次名为“毒针”的 APT 攻击,并发现其使用了 Hacking Team 网络武器。
无独有偶,今年Security Brain发现的金鹰(APT-C-34)也是HackingTeam的新攻击。
版本后门用户。
此外,在金鹰(APT-C-34)的基础设施中,安全大脑还发现了 NSO 最著名的网络武器 Pegasus 的训练文档,其中也包括与 NSO 相关的合约信息。
采购时间疑似在2018年。
依托飞马网络利器,金鹰(APT-C-34)组织应该具备针对iPhone、Android等移动设备利用0day漏洞的先进入侵能力。
这一次又一次表明,风从年轻时起,网络战争正在一步步向我们逼近。
这绝不是危言耸听。
尽管哈萨克斯坦是中亚内陆国家,但它可能已经对网络战危机有了深刻的认识。
国家战略主动从传统的热战、经贸战转向网络战。
它购买了先进的网络武器,吸收了大国先进的网络攻防技术,并加大了投入。
网络军事战争是一根大棒,旨在先发制人,取得战场主动权。
金鹰(APT-C-34)攻击方式:不亚于网络强国的复杂程度。
值得一提的是,安全大脑追踪发现金鹰(APT-C-34)采用灵活多样的攻击方式。
其手段不亚于当今任何主要互联网强国的手段。
除了常规的社会工程学攻击方式外,他们还喜欢物理接触的方式进行攻击,并且还购买无线电硬件攻击设备。
(1)社会工程攻击手段:该组织制作了多种伪装的文档和图片作为鱼叉攻击的诱饵。
这些文件诱使用户点击伪装的图标。
这些文件实际上是带有EXE和SRC后缀的可执行文件。
同时发布弹窗,以真实文件、图片欺骗受害人。
甚至包括华为路由器说明书、假简历和三星收藏手册:(各种奇奇怪怪的诱饵,包括华为路由器说明书、假简历等)(2)物理接触攻击方式:U盘一直是攻击者最喜欢的攻击媒介。
金鹰 (APT-C-34) 组织也不例外。
报告显示,一些受害者访问了包含恶意程序和安装脚本的 USB 闪存驱动器。
如下图所示,以install开头的bat文件就是恶意程序安装脚本。
同时,攻击者还使用了HackingTeam的物理攻击套件,需要通过恶意硬件与目标机器进行物理接触,并在系统启动前根据系统类型植入恶意程序。
它支持Win、Mac和Linux平台。
(三)无线电窃听攻击手段 除了上述攻击手段外,金鹰组织还采购了俄罗斯安全防务公司“YURION”的硬件设备产品。
有证据表明,该组织很可能使用“YURION”公司的一些特殊硬件设备来直接拦截和监视目标的通信和其他信号。
哈萨克斯坦模式带来的反思:国家网络力量是一把反击剑。
面对洲际弹道导弹、核武器、航空装备、大型基础工业等巨大的国防军费,中小国家只能望而却步吗?如何在新时代的博弈中实现反制与超越,安全保卫甚至扩大回旋空间,哈萨克斯坦的网络攻防战略模式或将揭示一种政治远见与智慧:一方面,网络战争是全球战争,没有大国和小国之分;而国家网络力量是保护国家网络空间安全的盾牌,也是小国可以刺出的利剑。
对于小国来说,一流的网络部队是国家最锋利的优势,尤其是在网络战全面展开的大安全时代,让自己不再受到其他国家的威胁和掣肘。
另一方面,过去的叙利亚电子军(SEA)和后来的哈萨克斯坦金鹰(APT-C-34)组织,都表明国家级网络力量不再是等大国的专属。
如美国、俄罗斯和伊拉克。
而中小国家正在暗中准备建设自己的国家级网络军事力量,这可能比我们想象的要早得多。
全球首次发现金鹰(APT-C-34)的威胁情报中心和协助分析的烽火实验室关于高级威胁响应团队(ATATeam):专注于高级威胁攻击的应急响应团队例如APT攻击和0day漏洞。
团队主要技术领域包括高级威胁沙箱、0day漏洞探测技术以及基于大数据的高级威胁攻击溯源。
我们在全球率先发现并捕获了双杀、噩梦配方、毒针等数十个野生0day漏洞攻击,并独家披露了针对中国APT组织的多项先进行动。
团队多名成员名列微软TOP榜单。
白帽黑客名单在威胁情报、0day漏洞发现、防御和处置等领域建立了核心竞争力。
烽火实验室致力于Android病毒分析、手机黑产品研究、手机威胁预警、Android漏洞挖掘等移动安全和Android安全生态领域的深入研究。
作为全球顶尖的移动安全生态研究实验室,烽火实验室在全球范围内发布了多篇具有国际影响力的Android木马分析报告和Android木马黑色产业链研究报告。
实验室在为手机卫士、手机急救箱、手机助手等提供核心安全数据和顽固木马清除解决方案的同时,还为国内外数百家厂商、应用商店等合作伙伴提供移动应用安全测试服务。
Azimuth Guard 移动安全。
请查看更多《盘旋在中亚地区的飞影-黄金雕(APT-C-34)组织攻击活动揭露》报告详情。