只要仍然有效，攻擊者們顯然更樂于復用既有代碼及工具，并且屢試不爽。目前，這一傳統已再次被證實。

研究人員發現，并且有證據表明現代Windows PC攻擊工具中的部分代碼與20年前針對Solaris的入侵方案存在共通之處。這意味著某網絡間諜組織仍能夠成功利用20年前就已出現的網絡工具對基礎設施發起惡意活動。

俄黑客組織Turla或與上世紀“月光迷宮”網絡間諜組織相關

上世紀九十年代中期至末期，美國軍事與政府網絡、大學乃至其它各類研究機構曾遭遇過一波名為“月光迷宮(Moonlight Maze)”的攻擊浪潮。自FBI與美國國防部于1999年公布相關調查結果之后，月光迷宮隨即消失。但安全相關人士表示其背后的網絡間諜組織從未徹底滅亡。

Turla(某俄羅斯攻擊組織，亦被稱為惡毒熊、Uroburos以及Snake)可能正是當年轟動一時的月光迷宮幕后黑手，但直到最近這一猜測才逐步轉化為結論。

目前，卡巴斯基實驗室與倫敦國王學院的研究人員們已經找到了將Turla與月光迷宮加以關聯的技術性證據。

在對Penguin Turla(一款由Turla開發的Linux后門工具)以及月光迷宮攻擊當中所使用的開源數據提取工具后門進行對比分析之后，研究人員們得出了令人信服的結論。

俄20年前的網絡工具仍能對基礎設施發起復雜惡意攻擊-E安全

距離近20年兩者均使用開源LOKI2程序

卡巴斯基實驗室研究員胡安·安德烈斯·格雷羅·薩德解釋稱，二者皆使用了曾于1996年發表在《Phrack》雜志上的開源LOKI2程序。月光迷宮后門并未被直接部署在現代攻擊活動當中，但事實上Penguin Turla確實使用了同樣的代碼片段。

格雷羅·薩德指出，“這是一款有趣的工具，而且其明顯與月光迷宮出于同一批攻擊者之后”。他同時解釋稱，研究人員對43個月光迷宮二進制文件進行了研究，并從其中發現了9個基于LOKI2的后門實例。

從表面上看，月光迷宮與Turla之間似乎并無共通之處。月光迷宮主要針對Sun Solaris系統，并利用受感染設備立足同一網絡搜索更多潛在受害者。嗅探器組件會收集受害設備上的全部活動，并為攻擊者創建一份完整的惡意活動日志記錄。卡巴斯基實驗室的研究人員們在一篇博文中指出，這相當于攻擊者自行創造了一份完備的數字足跡。

相比之下，Turla則將矛頭指向Windows設備，且擁有現代惡意工具中的多種常見功能。其中最明顯的是能夠劫持未加密衛星傳輸鏈路，并以靜默方式滲透至受害者網絡中竊取數據。然而，Penguin Turla亦常被用于通過*nix服務器從入侵網絡內提取數據，從而實現二次攻擊。

20年的“老姜”黑客工具仍然很辣 令人擔憂

各類網絡間諜活動與高復雜度攻擊行為并非總是使用最新代碼。攻擊組織往往會對其武器儲備庫中的代碼進行回收與復用，并通過操作演進添加新的功能。

研究人員們得以通過后門代碼成功將其與LOKI2(由發布于1999年的Linux 2.2.0及2.2.5版本編譯而成)關聯起來，另外其中的二進制libpcap與OpenSSL則來自2000年初。這批代碼目前仍在使用，卡巴斯基實驗室發現就在上個月Penguin Turla還曾利用其對德國目標開展攻擊。

格雷羅-薩德表示，這款已經擁有20年歷史的黑客工具仍然能夠正常起效，并成功對現代操作系統與網絡施以打擊，這無疑“令人恐懼”。月光迷宮攻擊者無需利用任何復雜的手段以繞過反病毒方案或者安全防御體系。更令人不安的是，舊有代碼通過接入舊有庫重新在Penguin Turla中再次復活，并仍可用于攻擊現代計算設備。

將這兩輪攻擊行為關聯的另一證據來自月光迷宮攻擊期間受到影響的一臺服務器。在檢測到入侵活動之后，調查員們開始記錄服務器上發生的一切事件，當時攻擊者正利用其作為中繼服務器。調查員們對1998年到1999年間6個月中的攻擊事件進行了全程追蹤，包括查看攻擊記錄、判斷攻擊手段。而其系統管理員多年來一直保存有取證鏡像，并與研究人員們分享了這部分信息。

格雷羅-薩德表示，他們的工作就像是挖出了一個時間膠囊。

俄20年前的網絡工具仍能對基礎設施發起復雜惡意攻擊-E安全

月光迷宮或為俄政府支持型黑客組織

雖然月光迷宮與近期Turla惡意活動間的關聯已經相當確鑿，不過研究人員并沒有斷言稱攻擊者為同一個組織。卡巴斯基實驗室并沒有參與歸因工作，但就此發表了一些有趣的論斷。

與卡巴斯基實驗室合作的國王大學研究員托馬斯·里德表示，FBI曾經于上世紀九十年代對俄羅斯方面進行調查，且相關調查人員認定月光迷宮屬于俄羅斯政府授意下的攻擊產物。

研究人員們還將繼續深入挖掘，從而尋找更多能夠將月光迷宮與Turla聯系起來的技術性證據。