8月11日深夜,烏云漏洞平臺(tái)曝出猛料:有烏云白帽對(duì)網(wǎng)絡(luò)軍火商“HackingTeam”泄露的信息深入挖掘,發(fā)現(xiàn)中國(guó)一直都是網(wǎng)絡(luò)核攻擊的受害者。比如我們的“好鄰居”韓國(guó),早就與網(wǎng)絡(luò)軍火商合作采購(gòu)間諜軟件與漏洞,對(duì)國(guó)內(nèi)目標(biāo)發(fā)動(dòng)攻擊并已得手,而這些驚人的秘密也隨著白帽的分析報(bào)告公布于眾…
烏云平臺(tái)特別指出:這不是電影情節(jié)!
0x00 背景
Hacking Team是一家在意大利米蘭注冊(cè)的軟件公司,主要向各國(guó)政府及法律機(jī)構(gòu)銷(xiāo)售入侵及監(jiān)視功能的軟件。其遠(yuǎn)程控制系統(tǒng)可以監(jiān)測(cè)互聯(lián)網(wǎng)用戶的通訊,解密用戶的加密文件及電子郵件,記錄Skype及其它VoIP通信,也可以遠(yuǎn)程激活用戶的麥克風(fēng)及攝像頭。
Hacking Team總部在意大利,雇員40多人,并在安納波利斯和新加坡?lián)碛蟹种C(jī)構(gòu),其產(chǎn)品在幾十個(gè)國(guó)家使用。
7月5日晚,Hacking Team服務(wù)器被攻擊,其掌握的400GB數(shù)據(jù)泄露出來(lái),由此引發(fā)的動(dòng)蕩,引起了業(yè)界一片嘩然。里面有Flash 0day、Windows字體0day、iOS enterprise backdoor app、Androidselinux exploit、WP8 trojan等等核武級(jí)的漏洞和工具,其遠(yuǎn)程控制系統(tǒng)可以突破系統(tǒng)默認(rèn)以及殺毒軟件的安全防護(hù),后臺(tái)監(jiān)控用戶的網(wǎng)絡(luò)通訊、解密用戶的加密文件及電子郵件,記錄Skype和其它VoIP工具的聊天內(nèi)容,以及遠(yuǎn)程激活用戶的麥克風(fēng)及攝像頭。
本文為Hacking Team泄露的400GB數(shù)據(jù)當(dāng)中,查到韓國(guó)和哈薩克斯坦曾跟Hacking Team合作利用其開(kāi)發(fā)漏洞利用工具發(fā)起針對(duì)中國(guó)攻擊的證據(jù)。
0x01 韓國(guó)方面證據(jù)
通過(guò)曝光的Hacking Team客戶列表文件,可以看到韓國(guó)的5163部隊(duì)“5163 army”是其中一個(gè)客戶。
維基解密網(wǎng)站將曝光的Hacking Team郵件數(shù)據(jù)制作成數(shù)據(jù)庫(kù),可以通過(guò)關(guān)鍵詞、郵件收發(fā)者、附件名等方式進(jìn)行檢索,網(wǎng)站地址:wikileaks.org/hackingteam/emails
而在韓國(guó)是沒(méi)有“5163 army”這個(gè)部隊(duì)的。搜索了一下郵件里5163 army的地址,“Seocho P.O Box 200, Seocho-dong”,正是韓國(guó)國(guó)情院(NIS)所在地,韓國(guó)的聯(lián)系人為[email protected]。
根據(jù)客戶列表中的CODE可以查到韓國(guó)使用RCS系統(tǒng)所對(duì)應(yīng)的聯(lián)系人為[email protected],而這個(gè)郵箱與Hacking Team的郵件交流中,曾多次談到針對(duì)中國(guó)攻擊的郵件。
該郵件明確表示,有部分目標(biāo)在中國(guó),希望找到繞過(guò)本土殺毒軟件的方法。
這是在中國(guó)的一些目標(biāo),無(wú)法通過(guò)GSM回傳數(shù)據(jù),猜測(cè)中國(guó)ISP服務(wù)商屏蔽了一些IP段。
郵件中還列出了被控制中文系統(tǒng)電腦上的軟件。
ApplicationList(x86):
115瀏覽器1.0 (1.0)
360殺毒 (4.2.0.4055)
360壓縮 (3.0.0.2011)
360安全衛(wèi)士 (9.1.0.2001)
360手機(jī)助手 (1.7.0.1715)
AdobeFlash Player 11 ActiveX (11.7.700.224)
Adobe Flash Player 10 Plugin (10.0.45.2)
交通銀行網(wǎng)銀安全控件 V1.0.0.5 (0.10.11.3)
東亞中國(guó)網(wǎng)上銀行安全Key軟件 ( )
中國(guó)農(nóng)業(yè)銀行證書(shū)安全控件卸載
中國(guó)農(nóng)業(yè)銀行網(wǎng)上銀行證書(shū)工具軟件 飛天誠(chéng)信 Extend KEY 卸載 (20120612)
LinkSkype_Setup (1.0)
Microsoft.NET Framework 2.0
MSNLite (3.1)
QvodPlayer(快播) v3.5 (3.5)
搜狗拼音輸入法 6.5正式版 (6.5.0.9181)
搜狗壁紙 1.5版 (1.5.0.0922)
千千靜聽(tīng) 5.9.6 (5.9.6)
Windows Live 軟件包 (14.0.8117.0416)
WinRAR 壓縮文件管理器
人人桌面
騰訊QQ2012 (1.87.4930.0)
Free Launch Bar (1.0)
Windows Live 上載工具 (14.0.8014.1029)
中國(guó)農(nóng)業(yè)銀行網(wǎng)上銀行安全控件 v2.3.6.0
中國(guó)農(nóng)業(yè)銀行網(wǎng)上銀行證書(shū)工具軟件(旋極信息)
Microsoft Office Professional Edition 2003 (11.0.8173.0)
Compatibility Pack for the 2007 Office system (12.0.6514.5001)
迅雷5 (5.9.25.1528)
Windows Live 登錄助手 (5.000.818.5)
REALTEKGbE&FE Ethernet PCI-E NIC Driver (1.35.0000)
Skype(TM) 5.9 (5.9.14)
Intel(R) Graphics Media Accelerator Driver (6.14.10.5402)
Realtek High Definition Audio Driver
中國(guó)銀行網(wǎng)上銀行安全控件 2.1
暴風(fēng)影音 V3.10.07.30
泄露的400G文件中,Exopoit_Delivery_Netwokr_Windows.Tar為Hacking Team針對(duì)電腦系統(tǒng)的遠(yuǎn)程漏洞攻擊服務(wù)器數(shù)據(jù), Exopoit_Delivery_Netwokr_Andorid.Tar為Hacking Team針對(duì)安卓系統(tǒng)的遠(yuǎn)程漏洞攻擊服務(wù)器數(shù)據(jù)。
在Exopoit_Delivery_Netwokr_Andorid.Tar中,發(fā)現(xiàn)兩條中國(guó)IP被攻擊記錄:
如在文件夾“jAWxkt”中,log.jsonl顯示一北京IP在2015年6月26日,訪問(wèn)了攻擊漏洞連接,訪問(wèn)機(jī)型為華為G700。“data”目錄中的redir.js顯示,攻擊重定向到一個(gè)網(wǎng)址www.myasianporn.com,為一亞洲色情網(wǎng)站。
在維基解密數(shù)據(jù)庫(kù)中查詢(xún)附件“jAWxkt”,可以查到是韓國(guó)發(fā)起的攻擊。
按照同樣的方法還可以查到,在文件“vYLpBL”的log.jsonl文件中,顯示有一遼寧IP,在2015年6月18日訪問(wèn)了攻擊漏洞鏈接,訪問(wèn)機(jī)型為三星9008。重定向地址為www.5zuo2.com,同樣是一個(gè)亞洲色情網(wǎng)站。
0x02 哈薩克斯坦證據(jù)
在客戶列表文件中,同樣可以發(fā)現(xiàn)哈薩克斯坦國(guó)家安全委員會(huì)下屬部門(mén)SIS(SIS of NSC)與Hacking Team有密切合作。
從郵件中找到,哈薩克斯坦交流的對(duì)應(yīng)人員的郵箱為:[email protected]
郵件中搜索到針對(duì)中國(guó)的證據(jù)如下:
郵件中透露,目標(biāo)電腦的監(jiān)控后門(mén)已經(jīng)一個(gè)月沒(méi)有上線了,猜測(cè)可能因?yàn)榘惭b了殺毒軟件。
這個(gè)就是受控電腦的配置:
Device:
Content: Processor: 2 x Intel(R) Core(TM)2 Duo CPU E7200 @ 2.53GHz
Memory: 1548MB free / 2045MB total (24% used)
Disk: 211011MB free / 229944MB total
Battery: AC Connected - 0%
OSVersion: Microsoft Windows XP (Service Pack 3) (32bit)
Registered to: user (oemxp) {76481-640-3060005-23096}
Locale settings: zh_CN (UTC +08:00)
Time delta: +00:00:00
User: ShiYongRen (ShiYongRen) {ADMIN}
SID: S-1-5-21-1238585575-1299394864-243974745-1006
Drive List:
C: (disk)
D: "新加卷" (disk)
E: (cd-rom)
受控電腦上安裝的軟件
Application List:
360殺毒 (4.2.2.4092)
360安全衛(wèi)士 (9.1.0.2002)
Adobe Flash Player 11 ActiveX (11.9.900.117)
ATIDisplay Driver (8.471-080225a1-059746C-ATI)
暴風(fēng)看電影 (1.22.1017.1111)
智能五筆
系統(tǒng)補(bǔ)充驅(qū)動(dòng)包
飛信2013 (2013)
freeime 6.1 (6.1)
Windows Internet Explorer 8 (20090308.140743)
Windows Genuine Advantage Validation Tool (KB892130)
WPS Office 2007 專(zhuān)業(yè)版 (6.3.0.1328) (6.3.0.1328)
OrderReminderhpLaserJet 101x (1.0)
谷歌金山詞霸合作版 (2008.07.17.1.212)
Microsoft Office Professional Plus 2007 (12.0.6612.1000)
搜狗拼音輸入法 3.2 正式版 (3.2.0.0590)
暴風(fēng)影音5(5.29.0926.2111)
Thunder BHO Platform 2.2.0.1035
迅雷7
WinRAR 5.00 beta 5 (32 位) (5.00.5)
騰訊QQ2013 (1.96.7979.0)
hpLaserJet 1010 Series (3.00.0000)
Apple應(yīng)用程序支持 (2.3.4)
Apple Software Update (2.1.3.127)
Bonjour (3.0.0.10)
Microsoft Office File Validation Add-In (14.0.5130.5003)
iTunes (11.0.4.4)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (9.0.30729.6161)
Adobe Reader 8.1.2 - Chinese Simplified (8.1.2)
Apple Mobile Device Support (6.1.0.13)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022.218 (9.0.21022.218)
迅雷看看播放器 (4.9.9.1734)
迅雷看看高清播放組件
0x03 結(jié)語(yǔ)
以上已泄露的信息可以表明,中國(guó)才是國(guó)際化網(wǎng)絡(luò)攻擊的受害者。在報(bào)告中發(fā)現(xiàn)一些亞洲地區(qū)國(guó)家對(duì)我國(guó)進(jìn)行的網(wǎng)絡(luò)攻擊竊密的鐵證,甚至一些攻擊已經(jīng)得手,成功的控制了國(guó)內(nèi)目標(biāo)的PC或手機(jī)。攻擊方還會(huì)對(duì)新發(fā)現(xiàn)的問(wèn)題做針對(duì)性的要求,保證更隱秘的監(jiān)控與機(jī)密信息的回傳。切記!這些都不是電影情節(jié),而是已真實(shí)發(fā)生的國(guó)家級(jí)網(wǎng)絡(luò)安全的較量。
有趣的發(fā)現(xiàn)是,一些沒(méi)有信心獨(dú)立完成整個(gè)攻擊過(guò)程的國(guó)家會(huì)更傾向于尋求這種“網(wǎng)絡(luò)軍火商”的幫助,因?yàn)閷?duì)攻擊過(guò)程的隱蔽以及可靠性要求極高,攻擊過(guò)程不允許出現(xiàn)半點(diǎn)馬虎,必須保證行動(dòng)的精準(zhǔn)并且有效。而一些”網(wǎng)絡(luò)部隊(duì)“發(fā)達(dá)的國(guó)家則更喜歡自己來(lái),以此保證動(dòng)機(jī)與行動(dòng)的隱蔽性。
最后,從烏云社區(qū)從對(duì)HackingTeam泄露的郵件以及工單內(nèi)容分析來(lái)看,國(guó)際上對(duì)我國(guó)的網(wǎng)絡(luò)間諜行為是真實(shí)存在的,組織嚴(yán)明行動(dòng)縝密,如不是這次互聯(lián)網(wǎng)“軍火庫(kù)”的泄密事件,很多細(xì)節(jié)與事實(shí)對(duì)于我們來(lái)說(shuō)仍然毫不知情,相信這次事件也將成為網(wǎng)絡(luò)安全的里程碑,讓我們所有人都深刻的意識(shí)到國(guó)家網(wǎng)絡(luò)安全的重要與緊迫性。
寫(xiě)在最后:據(jù)了解,一直以來(lái),中國(guó)在國(guó)際上多次被職責(zé)是網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的侵入方,雖然面對(duì)這些無(wú)稽之談我們均予以了反駁,但不可否認(rèn)的是網(wǎng)絡(luò)空間戰(zhàn)已經(jīng)進(jìn)行到白熱化的程度。此次烏云發(fā)布的相關(guān)報(bào)告首次以第三方調(diào)查內(nèi)容證明中國(guó)才是網(wǎng)絡(luò)戰(zhàn)爭(zhēng)中的受害者一方,詳實(shí)的證據(jù)已讓事實(shí)不容反駁。可以預(yù)見(jiàn)的是,隨著國(guó)際形勢(shì)的進(jìn)一步演變,未來(lái)的網(wǎng)絡(luò)空間戰(zhàn)仍將愈演愈烈。
京公網(wǎng)安備 11010502049343號(hào)