當前位置：安全 → 行業動態 → 正文

揭秘：和中國過不去的頂級網絡間諜“索倫之眼”

責任編輯：editor007 作者：張丹 |來源：企業網D1Net 2016-09-05 21:40:16 本文摘自：雷鋒網

電影指環王中，失去肉身的魔王索倫幻化成了一只魔眼，與魔戒相通，擁有著可以毀滅一切的力量。

2015年9月，卡巴斯基實驗室在其反針對性攻擊平臺標記出了某個政府客戶網絡中的異常流量特征，經過分析后發現，有一個可疑的執行文件正在加載主機服務器中的內存。這個執行文件像是Windows密碼過濾器一樣，可以獲得所有明文管理密碼在內的所有敏感數據。

2016年8月中旬，賽門鐵克和卡巴斯基實驗室相繼發布報告稱，追蹤到一個名為索倫之眼的網絡間諜平臺。經過對比分析，360的追日團隊也確認，與其獨立截獲的境外APT組織APT-C-16為同一組織。該組織專門針對俄羅斯、中國、比利時、伊朗、瑞典等國家發動高級持續性攻擊，即APT。

截止報告發出前，360威脅情報中心共發現國內有數十個被影響的單位機構，涉及多個行業，其中科研教育、軍事和基礎設施領域，水利、海洋等行業最多。

揭秘：和中國過不去的頂級網絡間諜“索倫之眼”

據卡巴斯基實驗室介紹，這個黑客組織自2010年起就開始活動，原名為“行客”（Strider）。之所以把他們命名為索倫之眼（ProjectSauron）是因在分析追蹤的文件時，發現代碼中帶有Sauron字符。進一步分析后發現，索倫之眼并不僅僅是一個黑客組織，而是一個擁有精密技術的頂級間諜模型平臺。

索倫之眼的主要攻擊任務就是獲取加密的通訊信息。攻擊者使用一種整合了大量不同工具和技術的高級模塊化的網絡間諜平臺，并可以讓長期從事間諜活動的黑客隨心所欲的利用上面的工具。平臺上使用的攻擊策略主要有以下特點：

在進攻時針對每個特定的目標定制植入程序和基礎設施；

從不循環使用攻擊工具；

通常都是對目標網絡進行秘密和長期的間諜行動。

從卡巴斯基實驗室的報告中，可以發現索倫之眼行動所使用的攻擊工具和技巧如下：

獨特的數字足跡：核心植入程序具有不同的文件名和體積，并且針對每個目標特別定制——這使得其很難被檢測，因為某個目標感染痕跡對其他目標來說幾乎沒有任何價值。

運行于內存中：核心植入程序會利用合法軟件的升級腳本，以后門程序的形式在內存中運行，接收攻擊者的指令，下載最新模塊或執行命令。

偏好加密通訊：索倫之眼會積極搜索非常罕見的定制網絡加密軟件的相關信息。這種服務器端/客戶端軟件被很多目標企業廣泛用于安全通訊、語言通訊、電子郵件傳輸和文檔交換。攻擊者對于加密軟件組件、密匙和配置文件頗感興趣，此外還會收集在節點之間中繼加密信息的服務器的地理位置。

基于腳本的靈活性：索倫之眼部署了一系列由高水準LUA腳本精心編排的低水準工具。在惡意軟件中使用LUA組件，這種組件非常罕見，之前僅在Flame和Animal Farm攻擊中出現過。

繞過隔離網閘：索倫之眼使用特別定制的優盤繞過隔離網閘。這些優盤包含隱藏空間，用戶保存和隱藏竊取到的數據。

多種數據竊取機制：索倫之眼部署了多個竊取數據的途徑，包括合法渠道如電子郵件和DNS，將從受害者竊取到的信息偽裝成日常通訊流量。

索倫之眼幕后的黑客團伙都是經驗豐富的傳統攻擊者，并且曾花費過大量精力學習其他頂級黑客組織的攻擊技術，包括震網病毒的姊妹病毒（Duqu）、火焰病毒（Flame）、方程式組織（Equation）和高級間諜軟件Regin。這些黑客團伙在吸收了這些攻擊中最具創新的技術的同時，也吸取其被發現的教訓，不斷改善攻擊策略，有意刪除容易被監測的組件，確保其不易被發現。

卡巴斯基實驗室的安全專家介紹說，通常這種APT攻擊都具有十分明確的攻擊目的，即針對一個特定區域或某個特定的行業提取信息，在進行攻擊時，通常會導致一個區域內的幾個國家被感染，或是同行業的企業被感染。但索倫之眼似乎只是針對一些特定的國家進行攻擊活動，并專注于收集這幾個國家中任何企業、政府部門或個人的有重要價值的情報。

截止至報告發出前，卡巴斯基實驗室共發現了30多個已經被這個惡意軟件感染的網站，其中包括一家中國航空公司、比利時的一處大使館以及瑞典一家企業。根據卡巴斯基實驗室的分析，受攻擊組織通常在提供政府服務中扮演重要角色，這些組織包括：

揭秘：和中國過不去的頂級網絡間諜“索倫之眼”