據卡巴斯基實驗室的安全研究人員庫爾特 · 鮑姆加特納發現的證據顯示,美國黑客和俄羅斯黑客在剛剛過去的這個冬天入侵瞭中國一傢航空航天軍事企業的服務器, 留下瞭網絡間諜工具,卡巴斯基目前未透露這傢中國企業的名稱。鮑姆加特納表示,這種情況比較罕見,以前從未發現俄羅斯黑客組織APT28與美國 CIA 黑客組織Lamberts (又被稱為 " 長角牛 "Longhorn)攻擊同一個系統。
工具暴露身份
研究人員發現黑客攻擊這臺服務器使用的工具與 Lamberts 和 APT28 有關。研究人員表示,Lamberts 使用數據嗅探器被動收集信息,但目前尚不清楚嗅探到瞭哪些數據。這些嗅探工具與維基解密泄露的Vault 7文件有關。
鮑姆加特納表示,APT28 在這臺服務器上留下瞭一些已知的模塊,包括鍵盤記錄器、文件竊取器和遠程訪問軟件。研究人員之所以判定這些工具屬於該黑客組織,是因為 APT28 使用瞭一種隻有他們曾使用過的加密技術。
目前尚不清楚 Lambert 和 APT28 是否分別入侵瞭這臺中國服務器,或其中一個黑客組織借用瞭另一方的代碼。
>>>>
APT28 轉向亞洲 目標存在重疊
APT28 主要將目標瞄向美國和歐洲的目標,尤其與北約有關的西方目標,但卡巴斯基表示,這並非 APT28 的所有目標。2017 年至 2018 年,多個不同的黑客組織在中亞和東亞的攻擊目標似乎存在重疊現象。APT28 一直對該地區的軍事和外交事務組織機構備感興趣,該組織與其它黑客組織的目標存在重疊和競爭的現象:
▲ Mosquito Turla 和 Zebrocy – APT28 利用 Zebrocy 工具瞄準歐洲和亞洲的外交和商業組織機構,這些攻擊目標與 Mosquito Turla 一致。
▲ SPLM 與傳統的 Turla 存在重疊,Turla 常先於 SPLM 部署
▲ SPLM 與 Zebrocy 重疊,Zebrocy 常先於 SPLM 部署。
▲ SPLM 與 Danti 存在重疊。
目前,APT28 主要使用 SPLM 工具攻擊中國大型航空航天國防商業組織機構,並將 Zebrocy 的攻擊重點轉移至亞美尼亞、土耳其、哈薩克斯坦、塔吉克斯坦、阿富汗、蒙古、中國和日本。此前,另一傢安全廠商曾發佈報告推測,APT28 對中國的大學感興趣,但這份報告已被刪除。APT28 此次針對中國一傢航空航天軍事企業,該組織可能覬覦中國的軍事技術。
APT28 此次攻擊的目標曾是美國 CIA Lamberts 的目標。APT28 在該系統上的模塊似乎從未接觸磁盤,與 Linux Fysbis 代碼類似。研究人員未在這目標系統上發現完整的 SPLM 後門,也沒有發現任何 Powershell 加載腳本,這一點非同尋常。因為在這樣一個獨特的系統中,註入源頭仍然未知,研究人員為此提出幾種假設:
▲ APT28 記錄瞭 Grey Lambert 的遠程會話,並在發現這個主機後重播瞭通信,實際上是攻擊瞭系統上的 Grey Lambert 模塊獲取訪問權限,之後再註入 SPLM 模塊。
▲ Grey Lambert 黑客插上 " 假旗 ",減少 SPLM 模塊。
▲ SPLM 的新變種設法將模塊代碼註入內存,並自行刪除。
▲利用新型 Powershell 腳本或存在漏洞的合法 Web 應用程序加載並執行這個不同尋常的 SPLM 代碼。
研究人員認為,最後一種假設的可能性最大。鮑姆加特納表示,CIA 和 APT28 均攻擊瞭這臺服務器上易遭受攻擊的 Web 應用程序,但拒絕透露具體的應用名稱。
CIA 拒絕就卡巴斯基的發現做出評論。
註:本文由 E 安全編譯報道 , 原文地址:
https://www.easyaq.com/news/1999768448.shtml
更多內容
▲有瞭這款史上最 " 喪心病狂 " 的手雷,你所熟悉的影視劇爆炸套路都得改寫
▲中國計劃研制核動力太空穿梭機!我們的征途是星辰大海!
編輯丨周君
