周一,英国国家网络安全中心(NCSC)与美国国家安全局(NSA)共同发布了一项警告,警告说,Turla黑客组织正对军事机构、政府部门、科学组织和大学等开展攻击活动。作为高级持续威胁(APT),Turla得到了国家的支持,为他们提供了比普通网络攻击者更多的资源。
可这个组织不仅仅只是得到了国家支持,它还入侵了伊朗国家支持的APT组织所控制的网络基础设施来攻击其他国家,真可谓是完全贯彻了“草船借箭”的精神。
Turla,又称Snake、Uroburos、Waterbug或Venomous Bear,研究人员认为其背后有俄罗斯政府的支持,因劫持和使用电信卫星向全球偏远地区传播恶意软件而闻名。Turla至少从2007年以来就一直活跃在针对政府机构和私营企业的攻击中,目前已知的受害者名单很长,还包括瑞士国防公司RUAG、美国国务院和美国中央司令部。
Turla在不断发展自己的工具包的同时,也将注意力转向了其它APT组织的基础设施和资源。
今年6月,Turla在对中东的一个目标进行攻击时,其似乎劫持了伊朗APT34间谍组织的网络基础设施,并用它作为恶意软件的下载服务器,来将恶意软件送达受害者的网络中。新闻报道将这两个组织分别与不同的民族国家联系起来,虽然这两个攻击组织可能进行合作,但赛门铁克没有发现任何进一步证据支持这一点。所以,研究人员认为Turla劫持了APT 34的“PoisonFrog”命令和控制(C2)服务器。
目前尚无证据表明APT 34对Turla利用其系统发起过反击,但这种情况表明APT组织之间的竞争日趋激烈。
俄罗斯APT组织的重点通常是窃取数据,当该小组将工作重点放在渗透APT34组织上时,还部署了键盘记录器来监视其他APT的活动、技术和战术——以及活动的受害者和访问其系统所需的凭据。
全球的网络安全公司一直在关注Turla 不断壮大的工具集。例如,LightNeuron是ESET发现的一种新的非常复杂的后门,它充当Microsoft Exchange电子邮件服务器上的邮件传输代理,可以拦截和篡改邮件。
除了使用APT 34的网络基础设施,Turla在攻击活动中使用PowerShell来加载内存中的可执行文件也有了新变化,本月初,卡巴斯基表示黑客组织Turla在用户安装Web浏览器同时,即时修改这些Web浏览器,为加密流量添加所谓“指纹”功能,以实时跟踪用户和其使用的电脑。
声明:本文来自MottoIN,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
