据卡巴斯基实验室的安全研究人员库尔特·鲍姆加特纳发现的证据显示,美国黑客和俄罗斯黑客在刚刚过去的这个冬天入侵了中国一家航空航天军事企业的服务器,  留下了网络间谍工具,卡巴斯基目前未透露这家中国企业的名称。鲍姆加特纳表示,这种情况比较罕见,以前从未发现俄罗斯黑客组织 APT28 与美国 CIA 黑客组织 Lamberts (又被称为“长角牛”Longhorn)攻击同一个系统。

工具暴露身份

研究人员发现黑客攻击这台服务器使用的工具与 Lamberts 和 APT28 有关。研究人员表示,Lamberts 使用数据嗅探器被动收集信息,但目前尚不清楚嗅探到了哪些数据。这些嗅探工具与维基解密泄露的 Vault 7 文件有关。

鲍姆加特纳表示,APT28 在这台服务器上留下了一些已知的模块,包括键盘记录器、文件窃取器和远程访问软件。研究人员之所以判定这些工具属于该黑客组织,是因为 APT28 使用了一种只有他们曾使用过的加密技术。

目前尚不清楚 Lambert 和 APT28 是否分别入侵了这台中国服务器,或其中一个黑客组织借用了另一方的代码。

APT28 转向亚洲  目标存在重叠

APT28  主要将目标瞄向美国和欧洲的目标,尤其与北约有关的西方目标,但卡巴斯基表示,这并非 APT28  的所有目标。2017年至2018年,多个不同的黑客组织在中亚和东亚的攻击目标似乎存在重叠现象。APT28  一直对该地区的军事和外交事务组织机构备感兴趣,该组织与其它黑客组织的目标存在重叠和竞争的现象:

  • Mosquito Turla 和 Zebrocy – APT28 利用 Zebrocy 工具瞄准欧洲和亚洲的外交和商业组织机构,这些攻击目标与 Mosquito Turla 一致。

  • SPLM 与传统的 Turla 存在重叠,Turla 常先于 SPLM 部署。

  • SPLM 与 Zebrocy 重叠,Zebrocy 常先于 SPLM 部署。

  • SPLM 与 Danti 存在重叠。

目前,APT28 主要使用 SPLM 工具攻击中国大型航空航天国防商业组织机构,并将  Zebrocy  的攻击重点转移至亚美尼亚、土耳其、哈萨克斯坦、塔吉克斯坦、阿富汗、蒙古、中国和日本。此前,另一家安全厂商曾发布报告推测,APT28  对中国的大学感兴趣,但这份报告已被删除。APT28 此次针对中国一家航空航天军事企业,该组织可能觊觎中国的军事技术。

APT28  此次攻击的目标曾是美国 CIA Lamberts 的目标。APT28 在该系统上的模块似乎从未接触磁盘,与 Linux Fysbis  代码类似。研究人员未在这目标系统上发现完整的 SPLM 后门,也没有发现任何 Powershell  加载脚本,这一点非同寻常。因为在这样一个独特的系统中,注入源头仍然未知,研究人员为此提出几种假设:

  • APT28 记录了 Grey Lambert 的远程会话,并在发现这个主机后重播了通信,实际上是攻击了系统上的 Grey Lambert 模块获取访问权限,之后再注入 SPLM 模块。

  • Grey Lambert 黑客插上“假旗”,减少 SPLM 模块。

  • SPLM 的新变种设法将模块代码注入内存,并自行删除。

  • 利用新型 Powershell 脚本或存在漏洞的合法 Web 应用程序加载并执行这个不同寻常的 SPLM 代码。

研究人员认为,最后一种假设的可能性最大。鲍姆加特纳表示,CIA 和 APT28 均攻击了这台服务器上易遭受攻击的 Web 应用程序,但拒绝透露具体的应用名称。

CIA 拒绝就卡巴斯基的发现做出评论。

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。