首页 > 人物/事迹, 恶意软件, 评头论足 > 隐秘山猫:受雇佣的专业黑客

隐秘山猫:受雇佣的专业黑客

2013年10月11日 发表评论 阅读评论 11,473次浏览    

原文:http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/hidden_lynx.pdf

翻译:张世会(土豆)

一、概览

隐秘山猫是一个专业的黑客组织,具有超强的攻击能力。他们曾攻陷了美国安全公司Bit9的数字证书签名系统,使他们的间谍程序变得合法。攻击Bit9只是他们在过去的四年时间里所进行的众多动作之一。

隐秘山猫还提供了“黑客雇佣”服务,职责就是从众多的企业和政府目标中检索出特定的需求信息。他们组织的工作效率很高,可以同时执行多个任务,可以攻破全球安全防护做的最好的企业组织,可以迅速的改变自己的战术以实现对目标的攻陷。为实现对特定目标的攻击他们通常使用自己设计的多个木马程序:后门程序Moudoor常用于大型活动,并且这个程序已经在全球网络广泛分布;木马Naid是保留给特殊行动,用来打击高价值目标。隐秘山猫利用尖端的攻击技术,使得他们在众多黑客组织中脱颖而出。

本文会对隐秘山猫这个组织进行深入了解,包括他们的攻击目标和动机、通过他们的活动来了解他们的攻击能力和攻击策略。

二、背景

2013年2月,Bit9的一份声明中披露:在2012年7月,他们的网络系统曾经被第三方间谍程序所破坏。这个名叫隐秘山猫的知名组织和“极光行动”大有关系,当时他们利用SQL注入攻击并进入了Bit9的网络系统。他们的间谍程序使得他们能够成功入侵国防工业部门。

需要注意的是,Bit9被入侵只是VOHO大型水坑攻击的一小部分,VOHO攻击影响到了美国上百家企业和组织。此外,由于这个令人难以置信的组织,使得VOHO运动只是众多攻击运动中的一个。每个攻击运动都是为了获取世界上最富有、技术最先进国家的政府和商业组织的信息。

极光行动:Operation Aurora或欧若拉行动,2009年12月中旬可能源自中国的一场网络攻击。遭受攻击的除了Google外,还有20多家公司:其中包括Adobe、Juniper、雅虎、赛门铁克、陶氏化工。这场攻击过后,Google提出了它的新计划:它将“在必要的法律范围内”,于中国运营一个完全不受过滤的搜索引擎;同时Google也承认,如果该计划不可实现,它将可能离开中国并关闭它在中国的办事处。

三、隐秘山猫组织简介

隐秘山猫组织从2009年以来就一直在运作,很有可能就是一个提供“黑客雇佣”服务的专业黑客组织。他们完全有能力同时攻击多家企业或组织。他们的工作有条不紊并且效率很高。基于这些因素,他们会是一个相当具有规模的组织,大概有50-100人组成。

这个组织的成员擅长于系统攻击,他们使用两个精心设计的木马程序采取双管齐下的策略,利用大量的弱点渗透来对目标的知识产权进行针对性的攻击:

  • Moudoor团队负责散发Backdoor.Moudoor木马程序,有一个叫“Gh0st RAT”的定制版本木马,在横跨多个行业的大规模活动中经常使用。散发Moudoor程序需要有相当数量的人员协同工作,在攻陷目标的同时从目标网络中检索出有利用价值的信息。

  • Naid团队负责散发Troin.Naid木马程序,在Bit9公司被入侵的记录中发现了该木马程序的代码,Naid木马似乎只在针对攻击某些高价值的目标时使用。在VOHO运动中这个木马被用来执行过一个特殊的操作并且是由神秘山猫组织里面的一个技术高超的攻击者所为。另外,在2009年的“极光行动”中也被发现过Naid木马程序的代码。

在这些攻击活动中,大部分的网络基础设施和工具被定位来源于中国。隐秘山猫组织经常使用0day漏洞,反复渗透、巧妙植入、长期潜伏、精确打击,是隐秘山猫组织的特点。他们的工作有条不紊,技能也远远的超前与其它一些攻击群体,如APT1。隐秘山猫在过去的四年里一直在运作着APT攻击。在2013年他们已经发起多次0day攻击,他们也将继续保持他们的领先优势,进行有针对性的网络攻击。

四、他们的目标是谁?

自2011年11月以来,隐秘山猫已经成功入侵过数百家企业或组织。在此期间,这些组织一直在被持续控制之中。商业组织和各级政府部门是隐秘山猫的主要攻击对象,从各种行业的不同攻击目标来看,他们的攻击对象并不固定。隐秘山猫可以在全球范围内同一时间发起多次针对不同目标的攻击。

隐秘山猫最近对韩国的一些特殊组织进行了攻击并且西方国家的国防工业部门长期以来一直是他们的攻击对象。

图1、图2分别为自2011年以来隐秘山猫攻击目标和攻击范围所涵盖的行业及国家/地区统计。

hidden lynx 01

五、他们的动机是什么?

一系列的有针对性的信息表明,隐秘山猫是一个专业性的黑客组织。他们的任务是获取目标的具体信息,从而在同行之间保持领先水平。他们不会参与到经济利益的直接获取中。这样的运作模式表明他们是一个提供“黑客雇佣”的私人组织,他们技术高超,有经验丰富的专业人士,他们通过提供黑客技术来取得收入。

商业间谍

在上图显示中,金融服务业被认为是最具有针对性的行业。有一种倾向是攻击目标专门针对此行业内特定的企业。投资银行和资产管理机构的账户是他们的主要目标。某些类型的金融机构,例如商业银行的经营者,明确的表明了他们的攻击是针对这些目标的。

隐秘山猫利用他们的专业技能参与到大型企业的交易中,例如在即将到来的企业兼并和收购中,利用他们可以获得竞争对手的一些保密信息,从而获得竞争优势。通过集中瞄准这一领域,在谈判大型企业的并购或在证券交易所进行股票交易时,将会提供宝贵的信息。

对金融行业的攻击并不仅限于投资银行,还有证券交易公司,包括世界上最大的一个证券交易所都受到了他们的攻击。隐秘山猫还通过供应链提供间接攻击,他们提供硬件基础设施、安全网络通信和服务,特殊的金融部门也受到过他们的攻击。可以肯定他们进行攻击活动的动机就是这些金融行业。

攻击政府承包商

隐秘山猫有针对性的攻击目标,从地方政府到国家政府,并且多次反复尝试渗透进入这些政府的内部网络。他们攻击政府承包商,有资料证实隐秘山猫攻击的目的是为了获取这些政府部门的机密信息,也有资料显示他们是在为某些国家政府工作。

通过攻击有先进技术的特殊领域,比如航空航天领域,可以获得对他们国家有利的技术资料,或者弥补技术差距。通过攻击互联网服务提供商,可以获得很多有价值的信息。隐秘山猫实施的“极光运动”,这个运动中有针对性的攻击了很多组织,包括软件服务制造商和安全服务提供商。最近,微软声称隐秘山猫通过标记电子邮件进行法院命令窃听。他们相信这些攻击都是反情报行为,这些行动的背后可能是有国家政府在支持。

六、他们都做了些什么?

隐秘山猫的入侵工具、战术和自动化程序都是处于顶尖的水平。他们针对不同的目标采用量身定制的攻击工具和技术,以便最大程度的实现成功入侵。他们攻击公共网络设施并且为了秘密行动而采用自己设计的木马程序。他们实施过最成功的水坑式攻击。为了成功散发木马程序他们还进行了钓鱼式攻击和提供黑客技术产业链。这是一个有多年经验的团队,并且他们有足够的网络资源和高技术人才。

在以下三个主要事件中可以清晰的证明隐秘山猫组织的超强攻击能力:在VOHO运动中,他们成功入侵了提供数字签名服务的Bit9公司。在FINSHO运动中,他们使用了先进的0day漏洞攻击。在SCADEF行动中,他们通过操纵供应链攻击成功入侵了目标。

绕过坚固可信的防护系统

隐秘山猫面对困难可以迅速的改变应对策略。在Bit9事件中,他们就通过绕过Bit9公司坚固的网络安全防护系统,成功的使他们的木马程序获得合法签名。然而,入侵Bit9只是VOHO大型水坑攻击的一小部分,通过这一事件证明了他们在面对新的困难和阻碍时可以迅速的适应变化并采取新的策略和应急政策。

Bit9事件

Bit9是一家提供网络安全服务的公司,总部位于马萨诸塞州的沃尔瑟姆。Bit9替代了传统的基于签名的防病毒解决方案,他提供了一个基于云端信誉服务的可信安全平台并结合控制应用程序的策略和白名单保护来防止网络威胁。其结果是,由于Bit9平台的安全防护,第三方恶意木马程序很难在网络上进行传播,比如远程控制木马“Gh0st RAT”。但是隐秘山猫对此毫无畏惧,他们的精英小组接受了挑战。

在2013年2月8日,在Bit9公司的发表文件中有细节透漏:有一个第三方的恶意程序已经入侵了他们的数字代码签名证书系统。在此次事件中,有很多木马程序和恶意脚本程序被赋予合法签名。在2月25日,更多的攻击细节被透漏出来:在6个月前的2012年7月,有一个后门程序通过SQL注入攻击进入Bit9网络内部。起因是源于一次运营监管,有一台面向公众的服务器脱离了Bit9安全平台的防护,使得攻击者趁机攻陷了这台服务器。

然后攻击者安装了后门程序Hikit,这个后门木马程序提供了极其隐秘的远程控制通道。随后同一区域内的另外一台虚拟机的登陆口令被攻击者获取。这台虚拟机是Bit9公司的数字代码签名证书服务器。攻击者利用这台服务器签署了32个木马程序。赛门铁克的遥测系统显示签署的程序中有一部分已经存在于美国国防工业部的网络中。

一旦这些木马程序被赋予合法签名,它们将会绕过Bit9公司的安全防护平台。被赋予合法签名的木马程序中包括后门程序Hikit的变种,以及另外一个木马程序Naid。还有一些恶意脚本程序也被赋予合法签名,每一个恶意程序都有其特殊的目的。比如:Hikit后门程序用于隐藏在提供对外服务的服务器中,而Naid木马程序用于水坑式攻击中针对性的攻击某些高价值的目标。

hidden lynx 02

图3、Torjan.Naid木马程序的数字签名证书,由赛门铁克公司于2012.7.13日提供

hidden lynx 03

图4、Hikit后门程序控制了Bit9的数字代码签名证书服务器,并赋予Naid合法签名。

Bit9公司在2013年1月份注意到事件的危害后立即采取了遏制措施,比如撤销了签名证书并通告给了整个行业。从Bit9公司入侵事件来看,隐秘山猫攻击的动机并不是直接的经济利益,而是试图获取更多的资料信息。Bit9公司承认,他们的3个客户也受到了此次事件的影响。

在对Bit9进行攻击的同时,另外一个更著名的运动也已经顺利进行。他们刚刚结束了VOHO运动,一个针对美国马萨诸塞州波士顿地区的水坑式攻击的运动。

VOHO运动

VOHO运动最先是有RSA公司公布出来的,VOHO运动是最大也是实施最成功的一次水坑式攻击。这次运动结合了区域性攻击和特定行业间的攻击,主要针对目标是美国的企业和组织。这次攻击开始于6月25日,结束与7月18日,期间有接近4000台机器被下载了恶意程序的攻击载荷(攻击载荷是目标系统被渗透攻击之后所执行的代码)。这些攻击载荷通过合法网站传播给了不知情的受害者。

隐秘山猫实施水坑式攻击的做法颇有创意。在水坑式攻击中,攻击者设法攻陷一个合法网站,当目标访问合法网站时就会受到感染,从而实施对目标的攻击。从受害者规模和针对的目标性质可以看出水坑式攻击和以往的攻击行为有很大不同。在2011年12月隐秘山猫首次使用这项技术时,利用了Oracle Java SE Rhino的脚本引擎远程代码执行漏洞(CVE-2011-3544),从而成功了执行了他们的攻击载荷。由于隐秘山猫的此次事件的成功,许多其它攻击行为都模仿此战略,比如2013年初期,针对IOS开发者的攻击事件,使得苹果、Facebook和Twitter的许多员工受到影响。

在VOHO运动中,有10家合法网站受到影响。隐秘山猫的攻击者精心挑选了目标对象可能要访问的网站,从而使得他们的攻击载荷可以实施精确打击。

hidden lynx 04

图5、在VOHO运动中受到影响的网站所属的地区和相关的部门。

hidden lynx 05

图6、VOHO运动时间表,包含了两个阶段中所利用的0day漏洞和后门程序。

活动时间表

隐秘山猫的水坑式攻击分两个阶段进行。在攻击的第一阶段,他们利用了IE的0day漏洞:微软XML核心服务远程代码执行漏洞 (CVE-2012-1889)。在2012年的7月10日,微软推出了此漏洞的更新补丁,隐秘山猫因而也停止了继续利用这一漏洞。这是一个非常明智的行为,因为如果他们继续利用此漏洞来冒险扫描网络,就很有可能会被发现,从而影响到攻击的第二阶段。

在接下来的6天内,他们实施了第二阶段的攻击,这一次他们利用的漏洞是Oracle Java SE远程代码执行漏洞(CVE-2012-1723)。这个Java漏洞的补丁在后期也被及时修复。在此次入侵中,隐秘山猫连续使用了两个0day漏洞,可见,他们不是一般的黑客组织。

接下来我们看看隐秘山猫所使用的木马程序。

在实施攻击的过程中,两个木马程序在不同的时间被使用。定制版本的“Gh0st RAT”是后门程序Moudoor,相对比木马程序Naid来说分布的规模更大,可以看出隐秘山猫在攻击的过程中是有选择性的使用这些程序的。

在实施第二阶段攻击之前,木马程序Naid已经被Bit9公司的合法证书所签名。Moudoor程序从来没有在Bit9事件中出现,可以确定这是由隐秘山猫的两个团队分开独立工作的,从而他们可以独立性的选择目标进行攻击。从Naid木马程序控制的服务器来看,它与Moodoor有很大的不同,因为大规模的控制这些目标服务器会不可避免的在目标网络上留下更多的痕迹。

hidden lynx 06

图7、Moudoor和Naid木马程序的使用情况。

Naid木马团队的角色

在这次攻击运动中,Naid团队有一个特殊的目标:从国防工业部获取信息资料。在VOHO攻击运动的第一阶段,有一个未签名版本的Naid木马程序潜入了国防工业部,一直潜伏到7月10日微软推出了CVE-2012-1889的补丁程序。可能是隐秘山猫在试图进入国防工业部的内部网络时发现,目标的网络被Bit9公司的防护体系所保护,所以试图攻击Bit9以获取他们的数字证书签名。

在7月13日,就是他们对Bit9发起攻击的几天后,隐秘山猫组织就获取到了Naid木马程序的合法签名。在接下来的一天里,他们又挖掘出了一个Java的可利用漏洞程序来传播Naid木马程序。现在即有了合法证书签名,又有了可利用的漏洞负责承载传播,从7月16号开始,在接下来的三天内,隐秘山猫大肆恢复进行了他们的恶意活动。就是在这段时期内,在Bit9安全保护体系下的多家网络平台被攻陷。

在VOHO运动中,Naid是用来专门保留给特殊活动中的,用来入侵高价值目标。Naid团队的攻击目标范围很小,但是很专注,因为他们要最大限度的降低Naid木马程序的曝光度。负责整体性攻击的复杂程度要求一个攻击者要站在一个对系统安全架构高度熟悉的水平上。

很显然,隐秘山猫的组织成员是训练有素、技能高超的,他们行动敏捷,工作有条不紊,可以根据变化随时调整自己的作战策略。比如,为了实现他们入侵国防工业部的最终目标,他们迅速的适应情况变化,改变作战策略,从而一举攻破了安全体系做的最好的Bit9公司的防护系统,进而实现了最终目的。

Moudoor后门团队的角色

在VOHO运动中,Moudoor后门程序都传播范围非常大。包括金融行业,地方政府和联邦政府,医疗行业,教育业,和法律行业都受到影响。对于企业间谍来说,这些行业的敏感信息都是巨大的财富。

hidden lynx 07

图8、在此次运动中受影响的组织机构所占的比例。

在这次攻击运动中,传播如此大规模的范围需要一个有规模的团队来操作,并且维持访问这些已经被控制的电脑。只需要一个小团队就可以轻易的实现系统入侵,但是要持续的控制所入侵的系统并在这些系统中检索出有价值的信息就需要一个大的团队来操作。为了实现同时攻击这些组织及机构,就同样需要有大量的人员来操作。这些木马程序的传播都需要手工进行操作,所以,如果没有数百名人员来维护这个工作,那将是难以想象的。

在过去的四年里,VOHO攻击运动只是隐秘山猫组织所进行的众多运动之一。这显示出了隐秘山猫为了成功获取目标系统的可以迅速改变作战策略。事实上,Bit9公司的数字代码签名证书被攻破只是这次运动中的一小部分,但这也显示出了隐秘山猫组织的超强适应能力和不达目的绝不罢休的信心。

高级0day漏洞攻击

隐秘山猫组织可以获取高级0day漏洞。在今年的2月份,在FINSHO运动中,他们利用Oracle Java SE的远程代码执行漏洞(CVE-2013-1493)攻击了日本的目标组织。

FINSHO运动

在2月25日,Bit9发表博客声明的两天时间内,隐秘山猫组织的成员在一次攻击运动中利用CVE-2013-1493漏洞传播了Moudoor后门程序和Naid木马程序。有趣的是,有一台C&C服务器(110.173.55.187)的Naid木马程序的配置和Bit9事件中发现的样本配置相类似。虽然入侵Bit9事件中使用的程序版本在其它事件中没有被发现,但是隐秘山猫这种系统化有条不紊的做法表明他们可能已经利用Naid木马程序进行了其它类似的攻击活动。

hidden lynx 08

图9、在FINSHO运动中Moodoor和Naid木马程序利用CVE-2013-1493漏洞的传播情况以及漏洞的开发以及传播时间表。

根据Oracle公司发表的博客,CVE-2013-1493漏洞是在2月1日被报告给他们的,在同一天,已经有利用该程序的代码渗透进入了该程序,如图10。在过去隐秘山猫利用的java攻击载荷都是已经对外公开了的。在这次事件中,他们得到漏洞的时间是与Oracle在同一天,很快就开发出了漏洞利用的攻击载荷。Oracle发布CVE-2013-1493漏洞修复补丁的时间是在3月4日。

hidden lynx 09

图10、MightDev.jar文件曾被用来传播Naid和Moudoor木马。

hidden lynx 10

图11、通过共享的C&C服务器中Naid配置,显示出了FINSHO运动和Bit9事件中的关系。

供应链攻击

隐秘山猫在VOHO运动后继续攻击国防工业部。在另外一个叫做SCADEF的攻击运动中,军用级的计算机制造商和供应商中的设备中发现了有木马程序被嵌入到英特尔的芯片驱动中。

SCADEF

攻击者利用变种的后门程序Moudoor捆绑了英特尔驱动程序,使用的捆绑工具是在中国非常流行的压缩软件Haozip。攻击者使受害者以合法途径下载此驱动程序,但是在本次调查中并没有发现这个驱动程序的真正来源。

该技术是进入安全防护很好的网络的另外一种途径。隐秘山猫不仅攻击硬件供应商,政府承包商也是他们的攻击目标。隐秘山猫小组成员旨在找出链中最薄弱的环节,然后等待目标上线。在这次的特定攻击中,他们只是等待受害计算机被安装使用在目标网络上。

hidden lynx 11

图12、在供应链攻击中检测出的受害计算机数量。

VOHO运动,FINSHO运动和SCADEF运动都表明了隐秘山猫在攻击目标时,是如何的高效和快速适应变化。他们具有高超的攻击技术和先进的攻击方法,可以快速的适应变化以实现每一个目的。这三大运动是隐秘山猫在过去的时间里的一部分活动,他们的这些行动对一些行业构成了很大的威胁。

总结

网络间谍活动正在变得越来越普遍,有数不清的黑客组织或威胁人员试图攻击一些安全防护措施做得好的组织以获得立足之地。这些攻击也变得越来越复杂。这些威胁人员的机动能力和战术也有很大的不同。隐秘山猫组织有能力对目标进行重点攻击,可以进行大型攻击活动,可以在全球范围内同时发起针对多个组织的攻击活动。我们已经看到了他们的行动,自2009年以来,他们在多次运动中利用尖端的技术反复渗透、攻击目标网络。他们可以迅速的适应安全应对措施,并且行动活跃占据主动。在有针对性的威胁中,隐秘山猫是最具有丰富资源和能力的攻击组织之一。

根据以上证据可以看出,隐秘山猫显然是一个专业的组织。他们使用最新的技术,可以利用多组不同的漏洞,使用专业定制的工具来攻击目标网络。他们的攻击可以维持很长一段时间,并且具有丰富的设备资源和庞大的组织。他们团队的成员技能娴熟,可以快速适应不断变化的情况。他们的团队大概有50-100人,这些人员的工作是制造木马程序,维持访问被攻陷的电脑及服务器资源以及在众多资源中检索出有利用价值的信息。

具有针对性的网络攻击正在不断变化,并且日趋成熟,同时企业组织实施安全应对措施,供攻击者也正以极快的速度适应这种变化。随着越来越多的威胁人员参与其中,企业组织必须明白,老练的攻击者正在试图努力绕过每一层的安全防护。保护公司资产安全的任何解决方案都将不安全。因此,各项解决方案需要相互结合,做到更好的了解攻击者,以充分保护攻击者最感兴趣的敏感信息。

隐秘山猫的使命很大,从他们的攻击频率和多样性可以看出,他们的目的是从企业组织中获取有利用价值的信息。他们的攻击范围在全球各地,攻击目标通常是一些经济发达、技术先进的国家。他们一般不会利用这些信息直接获取经济利益,他们可以利用的信息量巨大,而且具有多样性,他们一般会将这些信息签约给他们的多个客户。这样就使我们相信,这个一个专业的黑客组织,并且提供“黑客雇佣”服务。

最让我们担忧的是隐秘山猫所带来的连锁效应,因为其他的一些攻击者可能会模仿隐秘山猫的攻击行为,并学习、采用他们的攻击技术。隐秘山猫也没有沉迷于他们过去的辉煌之中,而是在继续改进并精简其业务,继续保持在这一领域的领先地位。我们预计,在未来的几年内,会有更多的威胁人员参与到更多的攻击活动中。像隐秘山猫类似的团体组织肯定会赢得一些战斗,但是企业组织如果更好的了解了 这些黑客组织是如何运作的,可以帮助我们采取相应的对策并防止企业机密信息落入攻击者手中。

(全文完)

版权声明:自由转载-非商用-非衍生-保持署名 | Creative Commons BY-NC-ND 3.0
  1. 本文目前尚无任何评论.