全球40起黑客攻击或与CIA有关 长角牛黑客组织打卡“上班”

  1. 云栖社区>
  2. 博客>
  3. 正文

全球40起黑客攻击或与CIA有关 长角牛黑客组织打卡“上班”

boxti 2017-07-05 13:44:00 浏览808
展开阅读全文

4月11日讯 安全公司赛门铁克宣布,从16个国家遭遇的40起攻击中分析,这些攻击者使用的工具与“Vault 7”文件中揭露的CIA间谍战术中暴露的工具相当类似。

例如Fluxwire(CIA)和Corentry(Longhorn)。Fluxwire是维基解密披露的一款CIA网络间谍恶意软件,它包含对新功能添加后的日志变更日期,其变更跟Longhorn黑客组织创建的恶意软件Corentry的开发周期很相似。

赛门铁克在长篇报告中提到高度组织化北美黑客组织“长角牛”(Longhorn),该组织与这40起攻击均存在关联。虽然未指明Longhorn由CIA特工组成,但是,赛门提克提供了大量证据。

赛门铁克写到,Longhorn使用的工具相当符合与维基解密泄露文档中的开发时间和技术规范,以及共享Vault 7文件中的一些加密协议。比如使用32位密钥的AES加密算法、在SSL中使用内部加密以防中间人攻击以及每次连接都要交换密钥等。以及使用内存中字符串反混淆和实时传输协议(RTP)来跟C&C服务器通信。

除此之外,为了规避检测,就连使用的战术也与文件中披露的一致。

考虑到使用的工具和技术如此类似,不禁让人怀疑Longhorn的活动与Vault 7文件都是同一组织的杰作。

全球40起黑客攻击或与CIA有关 长角牛黑客组织打卡上班   -E安全

“长角牛”(Longhorn)到底是谁?

据现有资料至少可以肯定的是,“长角牛”(Longhorn)是自2011年以来开始活跃的黑客组织,使用大量后门木马和0day漏洞攻击目标,该组织已经渗透进国际运作组织。

此外,该组织还盯上了金融、电信、能源、航空航天、信息技术、教育和自然资源行业的目标。尽管赛门铁克并未透露目标的具体名称,但他们指出,这些受感染的目标分布在中东、欧洲、亚洲和非洲16个国家。美国的计算机曾遭遇黑客攻击,但在一小时内就启动了卸载器,说明这起攻击很有可能是无意之举。

当维基解密开始在网上曝光CIA文件时,赛门铁克发现大量这些文件包含的信息与Longhorn开发的工具“Corentry”木马近乎一致。Corentry的新功能出现在了赛门铁克获取的样本中。

赛门铁克的研究人员概述了Vault 7文件中详述的其它工具,例如Fire和Forget,Archangel有效载荷用户模式注入规范。另一文件中详述的另一工具概述了恶意软件工具应遵循的加密协议,该协议被多年应用子啊Longhorn使用的工具中。

赛门铁克自2014年以来一直在跟踪Longhorn,当时Longhorn使用Word文档中的0day漏洞利用通过Plexor感染目标引起了他们的注意。Longhorn用来攻击目标还会使用的其它恶意软件,包括Corentry、Backdoor.Trojan.LH1和Backdoor.Trojan.LH2。

而且,Longhorn组织将恶意软件部署到目标以前,将通过目标特定密语、独特的命令与控制(C2)域名和返回给攻击者的通信IP地址进行预配置。Longhorn工具嵌入了大写的密语,内部引用 “groupid”和“siteid”,可能是用来识别活动和受害者。

黑客组织周一至周五打卡上班 目标明确

赛门铁克公司表示,Longhorn创建并部署的恶意软件专为间谍行动构建,具有详细的系统指纹识别、发现和渗漏能力。

维基解密曝光Vault 7文件之前,赛门铁克认为Longhorn是参与情报收集行动的组织,该组织具备丰富的资源,分析其工作时间戳表明,他们的工作时间为周一至周五。

这就说明,Lonhorn是国家支持型的黑客组织。既然泄露的文件就摆在眼前,该组织的身份及其幕后黑手也就没什么悬念了。  


 


  

本文转自d1net(转载)

网友评论

登录后评论
0/500
评论
boxti
+ 关注