過去兩年來,一個疑似來自黎巴嫩的網絡間諜小組黑掉了數百個國防供應商、電信運營商、傳媒以及教育組織,范圍超過10個國家。
Check Point軟件技術公司的研究人員發現了這一系列仍在持續的攻擊,他們將攻擊行動稱之為“爆炸雪松”(Volatile Cedar,黎巴嫩有雪松之國的稱謂)。最初跡象可以追溯到2012年,但該間諜組織一直在小心地調整他們的入侵工具以避免被殺毒軟件檢出,因此直到今天才被發現。
不像大多數網絡間諜組織,爆炸雪松不使用魚叉式網絡釣魚或網站掛馬下載,他們的目標是網站服務器,并將其作為攻擊的入口點。
Check Point周二發布的詳細報告稱,攻擊者使用自動漏洞掃描器配合一些手動方式來尋找網站和網頁應用中的漏洞,之后實施入侵。這些漏洞被用于對目標Web服務器安裝后門程序(Web shell)。
如果被入侵的服務器運行微軟的IIS Web服務器軟件,攻擊者就使用自身權限來安裝一個定制的Windows木馬程序:炸藥(Explosive)。該程序有鍵盤記錄和其它信息竊取能力,也是該黑客組織的主要惡意工具。他們通過炸藥來從被感染的服務器提取信息,包括管理員鍵入的密碼。該木馬程序也被用來感染目標域中的其它服務器。其最新版本包含了感染U盤擴散的能力。
在受害服務器中發現了一些定制端口掃描器和其它工具的殘留,研究人員據此相信攻擊者是使用最初感染的服務器作為入口,以入侵整個網絡。
研究人員已經確認,炸藥木馬的三個主要版本在過去兩年時間里被反復使用。通常情況下,如果攻擊者發現老版本已經被反病毒程序檢測到,就會發布新的版本。在大多數情況下,這樣的檢測事件是意外發生的,通常是由于殺毒軟件積極的啟發式掃描,而不是手動檢測。
有充分的證據表明,爆炸雪松竭盡全力讓自己的惡意入侵行為隱藏起來。他們會定期確認反病毒檢測結果,并相應地更新受害服務器上的木馬版本。
他們用到的惡意程序會監控自身的內存消耗情況,以確認其不會達到某個引起懷疑的特定閾值;而且,它在不對外界發起通信的時段內會進入“無線電靜默狀態”。這些時段在每個入侵案例中都不同,是在配置文件中預置好的。
炸藥木馬同樣也會定期檢查和幕后操控服務器的通信狀況,以確認繼續運行是否安全。所有的通訊都偽裝成了隨機網絡流量,看起來并沒有和幕后服務器直接聯絡。該木馬會和硬編碼服務器與動態更新服務器進行通訊,如果通訊失敗,它就使用域名生成算法找到新的服務器目標。
研究人員表示,盡管炸藥木馬只能安裝在Windows服務器上,攻擊者同樣入侵了Linux服務器,并安裝了Web殼。在此過程中沒有發現使用零日漏洞的跡象,但其可能性不能完全排除。
研究者在黎巴嫩發現了大量的受害者,但他們在以色列、土耳其、英國、日本、美國和其它國家也都找到了被入侵的機構。
研究人員表示,有數百個受害者,但是其具體數量和地理位置還不能公布,因為這部分數據還在收集中。Check Point準備近日發布一份后續報告,其中將披露更多信息。
至于攻擊來源,幕后服務器地址、域名whois記錄和其它技術證據表明攻擊者位于黎巴嫩。攻擊的老練程度顯示他們有可能由國家或政治集團贊助,不過大量的受害者人數也可能表明這些攻擊屬于國內間諜活動。這意味著這些行動可能不是由黎巴嫩當局支持的。
對網絡攻擊進行溯源總是很困難的,而且存在誤差。黎巴嫩這個攻擊來源也可能只是攻擊者故意偽造的而已。
可以肯定,這些攻擊不是無序行為。因為這些攻擊活動屬于該組織的日常工作。雖然他們并不像NSA那樣老練,但也有很好的持久性和行動紀律。而且,類似于炸彈木馬這種完全定制的惡意程序并不常見。
幾天前,爆炸雪松已經對Check Point開展的信息共享策略作出了反應,他們發出了自毀命令,以消除所有被感染系統上的惡意軟件,斷絕其和幕后服務器的通信。
原文地址:http://www.aqniu.com/threat-alert/7208.html
京公網安備 11010502049343號