故明君賢將,所以動而勝人,成功出於眾者,先知也。
——《孫子兵法》
【導語】近日,360威脅情報中心全球獨家捕獲了一起一直活躍在中亞地區,從未被外界知曉的APT組織,並將其命名為黃金雕(APT-C-34)。透過層層研究分析,我們發現這個有著哈薩克背景的組織,不僅向臭名昭著的軍火商Hacking Team採購「武器」,更為重要的是它還自主研發「網絡軍火」。中亞內陸國家尚且能夠投入大量人力、物力、財力,聚焦網絡情報收集,將網絡戰上升到首要高度,足見在網絡空間第五維世界裡,任何一個國家都在努力構建網絡攻防軍事強國,而掌握關鍵性「軍火武器」也成為其重要途徑。
在披露今天的主角APT組織黃金雕(APT-C-34)前,我們先介紹下對主角的發現,起著決定性作用的網絡軍火商公司——Hacking Team。
知名網絡軍火商反被「Hacked」
數萬噸「武器炸藥」被隨意領取
Hacking Team是一家向全世界出售商業網絡武器的公司。它專注於開發網絡監聽軟體,涵蓋幾乎所有桌面計算機和智慧型手機。除提供監聽程序外,Hacking Team還提供能夠協助偷偷安裝監聽程序的未公開漏洞(0day),無國界記者組織曾將「HT」列為「網絡敵人索引」。它的客戶不僅涵蓋各國的執法機構,甚至包括了聯合國武器禁運清單上的國家。
然而,就在2015年7月5日,這家早已「聞名於世」的軍火商因被「Hacked」再次轟動全球。
400GB文件被泄密,已經工程化的漏洞和後門代碼一時間全部公開,包括Flash、Windows字體、IE、Chrome、Word、PPT、Excel、Android等諸多未公開0day漏洞,覆蓋大部分的桌面電腦和超過一半的智慧型手機。
可以說,這次泄露不亞於將數萬噸TNT「軍火炸藥」的導火線公之於眾,國家乃至世界都處於一個隨時可能被「引爆」的處境中。
歷經此事,Hacking Team公司也被迫宣布破產被併購。但這並不是故事結局,或者可以說是事件的開端。
2018烏俄大戰,「HT軍火」再現世
360全球首家披露
黃金雕(APT-C-34)組織
歷經一段時間的沉寂,很快Hacking Team因2018年11月烏俄兩國突發的「刻赤海峽」事件而重回大眾視野。
在此危機中,360高級威脅應對團隊率先發現了一起針對俄羅斯總統辦公室所屬的醫療機構的APT攻擊行動。更為重要的是,這起被命名為「毒針」的APT行動使用了Flash 0day漏洞CVE-2018-15982 ,而其後門程序正是出自Hacking Team。
不難推斷,Hacking Team的生意並沒有消失,「毒針」行動背後的APT組織仍在採購商業網絡武器。而這,也啟發了網絡安全專家的持續追蹤。
驚喜的是,就在對Hacking Team網絡武器的深入溯源中,一支活躍在中亞地區,未被披露過的俄語系APT組織也「浮出水面」。由於這是360全球首次發現披露,該團隊參照中亞地區擅長馴養獵鷹狩獵的習俗特性,將該組織命名為黃金雕(APT-C-34)。
網絡武器的應用早已不分國界與大小
APT組織黃金雕幕後「金主」竟是該國?
似乎以往我們所熟知的APT組織多隸屬於美國、俄羅斯、以色列這樣的網絡大國、網絡強國,然而在此次APT歸屬分析中,我們發現它竟隸屬於「名不見經傳」的國家——哈薩克。
足見,網絡武器的應用早已不分國界與大小,任何一個國家都在努力通過掌握關鍵性「軍火武器」這一途徑,構建網絡攻防軍事強國
01.對該組織基礎設施布局及受害者分析:
報告顯示:黃金雕(APT-C-34)組織的基礎設施和絕大部分的受害者均集中在哈薩克國境內,涉及各行各業,包括哈國境內:教育行業、政府機關人員、科研人員、媒體工作人員、部分商務工業、軍方人員、宗教人員、政府異見人士和外交人員等。其中也波及到了我國駐哈薩克境內的機構和人員。
02.對該組織主要攻擊方式分析:
而在攻擊方式上:黃金雕(APT-C-34)組織除了常規的社會工程學攻擊手段,也喜歡使用物理接觸的手段進行攻擊,同時還採購了無線電硬體攻擊設備。
a.社會工程學攻擊方式:
該組織製作了大量的偽裝的文檔和圖片文件作為魚叉攻擊的誘餌,這些文件通過偽裝圖標誘導用戶點擊,這些文件實際上是EXE和SRC後綴的可執行文件,同時會釋放彈出真正的文檔和圖片欺騙受害者。
有意思的是,誘餌文檔的內容五花八門,有華為路由器的說明書、偽造的簡歷和三星手機說明書等。
此外,其中部分誘餌程序安裝包腳本會自動將程序添加到註冊表項中,實現自啟動駐留。
b.物理接觸攻擊方式
U盤一直是攻擊者很喜歡的攻擊載體。黃金雕(APT-C-34)組織也不例外。報告顯示:部分受害者曾經接入過包含惡意程序和安裝腳本的U盤。如下圖所示,其中以install開頭的bat文件為惡意程序安裝腳本。
同時,攻擊者也使用了Hacking Team的物理攻擊套件,該套件需要通過惡意硬體物理接觸目標機器,在系統引導啟動前根據系統類型植入惡意程序,支持Win、Mac和Linux平台。
c.無線電監聽攻擊方式
除以上攻擊方式外,黃金雕(APT-C-34)組織還採購了一家俄羅斯公司「YURION」的硬體設備產品(該公司是一家安全防務公司,專門出售無線電監聽、竊聽等設備)。有證據顯示:該組織很有可能使用「YURION」公司的一些特殊硬體設備直接對目標的通訊等信號進行截取監聽。
03.對該組織核心後門程序技術說明文檔分析:
通過對該組織核心後門程序Harpoon的技術說明文檔分析看,該工具被命名為Гарпун(Harpoon),中文實際含義是魚叉,後門的版本號為5.0。該文檔的內容大量引用標註了哈薩克城市名和哈薩克政府機構名,顯示該後門程序疑似是由哈薩克的政府機構支持開發。
然而,其實早在2015年,Hacking Team被攻擊泄露數據後,哈薩克的國家情報機關就被證實採購了Hacking Team的軟體。在這份報告中,展示了哈薩克曾與Hacking Team官方來往郵件,以尋求網絡武器的技術支持。
這裡有個非常有意思的點,講的是:在疑似針對中國的攻擊中,其涉及的後門程序因360的查殺導致目標不上線的案例。
為收集網絡情報,哈薩克煞費苦心
不止向網絡軍火商採購武器,還自主研發
《孫子兵法》有云:故明君賢將,所以動而勝人,成功出於眾者,先知也。開宗明義地指明,「先知」是「動而勝人」的先決條件,指出「情報」在戰爭中發揮著舉足輕重的作用,甚至是對戰役的勝負有著決定性作用。可謂,知己知彼,方能百戰不殆。
傳統戰爭如此,網絡戰亦然。網絡情報的收集獲取同樣是贏得網絡戰勝利的重要先決條件。而在此報告中,我們發現,為收集重要網絡情報,哈薩克可是「煞費苦心」,它不僅向網絡軍火商Hacking Team採購網絡武器,同時還自主研發,已達其目的。
01.多渠道採購網絡軍火武器
採購網絡軍火商Hacking Team的商業後門。該組織購買了Hacking Team的遠程控制軟體Remote Control System(RCS),並有完整的控制端軟體。
值得注意的是,這裡的版本號均為10以上,而Hacking Team在2015年泄露的RCS版本號為9.6。在這裡,我們有個大膽的推測:黃金雕組織與Hacking Team的「軍火貿易」或許一直都在,或者黃金雕組織已在原有「武器」上進行了「二次加工」,對「武器」進行了「全新升級」。
同時,不止於採購Hacking Team的網絡武器,該組織也是著名的移動手機網絡軍火商 NSO Group的客戶。
在黃金雕(APT-C-34)的基礎設施中,顯示含有NSO最出名的網絡武器pegasus的培訓文檔,其中還包括與NSO相關的合同信息,採購時間疑似在2018年。依靠pegasus網絡武器,黃金雕(APT-C-34)組織應該具備針對iPhone、Android等移動設備使用0day漏洞的高級入侵能力。
02.自主研髮網絡軍火武器
更為需要引起注意的是,就是哈薩克這樣一國家,它卻早已有了自主研髮網絡軍火武器的意識與能力,甚至可以說其能力不容小覷。
Haroon便是黃金雕(APT-C-34)組織自主研發的一款針對特定用戶的後門程序,使用Delphi實現。通過對該後門的說明手冊分析,發現該後門具備強大的信息收集功能,包括:螢幕定時截圖、錄音、剪切板記錄、鍵盤記錄、特定後綴名文件偷取等功能。
不單採購了大量網絡軍火武器還有實力自主研發,黃金雕(APT-C-34)組織的背後實體機構——哈薩克,正不惜投入了大量的人力、物力和財力在支持其運作。中亞內陸國家尚且擁有足夠意識重視網絡情報收集,將網絡戰上升到首要高度,足見在網絡空間第五維世界裡,任何一個國家都在努力構建網絡攻防軍事強國。
同時,我們還應看到:以漏洞為主的網絡武器日益受到各國重視,某些國家政府與網絡武器軍火商交易的腳步從未停歇,網絡軍火交易正進行地如火如荼,全球面臨著前所未有巨大安全威脅與挑戰。
面對如此緊張的局勢里,在這個沒有網絡安全就沒有國家安全的大背景下,我們又該如何自處呢
寫在最後:
關於哈薩克:其在民族問題上存在很大隱患。哈薩克國內目前有125個民族,其中主體民族哈薩克族占64.6%,俄羅斯族占到了22.3%,哈薩克族多信仰伊斯蘭教(遜尼派),俄羅斯族多信仰東正教。一旦處理不好與美、俄的關係,哈薩克很有可能面臨烏克蘭式的命運。所以,通過網絡武器等方式獲取對該國有用的價值情報,對於該國的政治穩定而言,具有重要的軍事戰略意義。
全球首次發現黃金雕(APT-C-34)的360威脅情報中心及協助分析的360烽火實驗室
關於360高級威脅應對團隊(360 ATA Team):專注於APT攻擊、0day漏洞等高級威脅攻擊的應急響應團隊,團隊主要技術領域包括高級威脅沙盒、0day漏洞探針技術和基於大數據的高級威脅攻擊追蹤溯源。在全球範圍內率先發現捕獲了包括雙殺、噩夢公式、毒針等在內的數十個在野0day漏洞攻擊,獨家披露了多個針對中國的APT組織的高級行動,團隊多人上榜微軟TOP100白帽黑客榜,樹立了360在威脅情報、0day漏洞發現、防禦和處置領域的核心競爭力。
關於360烽火實驗室:致力於Android病毒分析、移動黑產研究、移動威脅預警以及Android漏洞挖掘等移動安全領域及Android安全生態的深度研究。作為全球頂級移動安全生態研究實驗室,360烽火實驗室在全球範圍內首發了多篇具備國際影響力的Android木馬分析報告和Android木馬黑色產業鏈研究報告。實驗室在為360手機衛士、360手機急救箱、360手機助手等提供核心安全數據和頑固木馬清除解決方案的同時,也為上百家國內外廠商、應用商店等合作夥伴提供了移動應用安全檢測服務,全方位守護移動安全。
更多資料詳情:
此外,更多《盤旋在中亞地區的飛影-黃金雕(APT-C-34)組織攻擊活動揭露》報告詳情請點擊「閱讀原文」進行查閱。