2018年3月9日,卡巴斯基发布报告揭露了一起潜伏6年的“弹弓”(Slingshot)网络间谍行动。攻击者通过非洲和中东多国被入侵的路由器感染数千台设备,这些国家包括阿富汗、伊拉克、肯尼亚、苏丹、索马里、土耳其和也门。
研究人员将此次发现的恶意软件称为 Slingshot,并将该软件背后的组织命名为 Slingshot 。安全公司在发现恶意软件及黑客组织时,常用这种命名方式。
卡巴斯基的研究人员推测,Slingshot 至少自2012年开始活动,直到2018年2月仍在活跃,潜伏时间长达6年之久。
Slingshot 为美军搜集情报
卡巴斯基并未在报告中将该行动归因到某个国家或政府,只是将其描述为高级持续威胁(APT)。但几名前任与现任美国情报官员向美媒透露, Slingshot 代表的是美国特种作战司令部(SOCOM)下属联合特种作战司令部(JSOC)运作的一项军事计划。
卡巴斯基的研究人员称,这起复杂的间谍活动可以传播具有高度入侵性的恶意软件,以便从被感染的设备窃取大量数据。
消息人士透露, Slingshot 通过感染恐怖分子常用的电脑,帮助美国军方和情报界收集相关情报。这些目标电脑通常位于发展中国家的网吧, 因为“伊斯兰国”(ISIS)和基地组织(al-Qaeda)目标通常会在网吧收发消息。这几名消息人士不愿透露姓名,因为这涉及保密计划,他们担心暴露姓名可能会导致美国失去一个有价值的长期监控计划,并且会为士兵的生命安全构成威胁。
美国特种作战司令部负责“特殊侦察”任务
Slingshot 计划被揭露,也代表着由美国特种作战司令部(SOCOM) 领导的网络间谍行动首次被曝光。SOCOM 一向负责在敌方领土部署精锐部队执行前线任务。过去十年间,SOCOM 在全球反恐战中发挥了重要作用,执行了多项保密任务,包括杀死基地组织头目本·拉登。
Slingshot 辅助联合特种作战司令部(JSOC)执行前线任务 。一名前美国情报官员透露,卡巴斯基的调查结果可能已经使美国方面放弃并摧毁用来管理这个监控计划的某些数字基础设施。因为美军标准程序是:一旦被发现就直接摧毁。尽管美国已经习惯处理这类事件,但这种情况仍很糟糕。
据多名学者透露,虽然美国特种作战司令部(SOCOM) 本质上并不是一个情报机构,但涉足网络行动已有一段时间,SOCOM 在内部将网络行动称之为“特殊侦察”。大多数这些行动通常会结合人工情报(HUMINT)和信号情报(SIGINT)抓捕恐怖分子。
随着全球反恐战在不断升级,美国大多数作战司令部都采取了举措,并获得了大量资金来提升间谍能力。从美军资源的爆炸性增长中获益最多的其中一个军事单位就是 SOCOM,在军事行动方面,许多人将它形容成“矛头”。
一名高级美国情报军官表示,SOCOM 许多下属部队都拥有独立的网络能力。过去十年间,SOCOM 以非常特别的方式实施网络行动。如果一项行动中涉及网络攻击, SOCOM 要么得到了美国网络司令部的支持,要么就是依赖各部队的小中队。
下属黑客组织 CNOS分布全球
约2007年,美国一个名为“计算机网络作战中队”(简称CNOS)的黑客组织由 JSOC 指挥运作。尽管 CNOS 的总部设在弗吉尼亚州北部,但它会帮助中东地区的秘密特工协调任务,有时会入侵网吧和当地的电信公司。加拿大记者肖恩·奈勒曾在其著作《Relentless Strike: The Secret History of Joint Special Operations Command》中首次提到黑客组织 CNOS。
奈勒写到,CNOS 成员可能驻扎在世界各地,包括NSA总部马里兰州的米德堡和 CIA 总部所在地弗吉尼亚州兰利。CNOS 与 CIA存在密切的联系,这就进一步模糊了美国情报界和军事机构原本已模糊的界限。
奈勒在书中提到一起案例,CNOS 通过击键识别软件感染了一台恐怖分子的电脑;有时会秘密启用目标电脑的网络摄像头,进而让特别行动小组主动识别目标。卡巴斯基发现的“Slingshot”程序具有类似的功能。
美国特种作战司令部(SOCOM)独有的结构提供了一种简单的方法来利用长期的情报计划,其原因在于该司令部可在全球范围内快速组织并部署部队。
CNOS 黑客组织这样的团队可经地区作战司令部批准后,与情报机构密切合作,JSOC与 CIA就曾合作过。奈勒在书中援引一名美军情报官员的话写到,美军在联合特种作战司令部(JSOC)内保留 CNOS 黑客组织是因为,美军希望 该组织在全球范围内完成“国家目标”,CNOS 就曾入侵伊拉克的网络。
Slingshot背后的黑客组织身份猜想
卡巴斯基一名研究人员表示,Slingshot 行动是迄今为止发现的最先进、最复杂的间谍行动之一。Slingshot 的创建者采用许多步骤隐藏身份和目的,这加大了研究的难度。
NSA还是CIA?
卡巴斯基首席安全研究员库尔特·鲍姆加特纳称,Slingshot 的幕手黑手是他见过的技术最先进的黑客组织之一。Slingshot 的大部分代码非常独特,之前从没见过…研究人员认为,Slingshot 或许与 Equation Grayfish 和 White Lambert 有一些相似之处。
Grayfish 是一款与 “方程式黑客组织”(Equation Group)有关联的软件植入程序(Implant)。业界广泛认为,方程式组织与 NSA 有关。
Lamberts 背后的黑客组织与 CIA 有关联。
与“方程式组织”和 Lambert 行动有关的黑客工具均用英语编写,这一点与 Slingshot 一致。另外,Slingshot 也使用了截然不同的软件驱动程序滥用技术,将恶意代码安装到目标系统上。Slingshot 、 Equation Grayfish 、 White Lambert 这三款恶意软件是目前发现的唯一使用这种驱动程序滥用方法的软件。
五眼联盟?
某些研究人员认为 Slingshot 出自“五眼联盟”(澳大利亚、加拿大、新西兰、英国和美国)之手,但卡巴斯基并不确定。外媒致信卡巴斯基,询问 Slingshot 是否出自美军之手,但未得到回复。
卡巴斯基指出,恶意软件 Slingshot 包含不同的模块,每个模块都有不同的标题,例如 Gollum、Cahnadr 或 NeedleWatch。在斯诺登泄露的文件中,有一份发布于2015年的 NSA 备忘录,其中将 Gollum 描述为 NSA 之外另一机构使用的“Partner Implant”。这份备忘录在五眼联盟之间传阅,讨论的是建立可访问数据管道的必要性,即从遭遇感染的电脑(活跃的 Implant 隐藏在其中)提取信息。
除了 Gollum,Slingshot 利用 Mikrotik 路由器的方式也可追根溯源到 CIA。维基解密曝光的 Vault 机密文件显示,至少自2015年以来,CIA 就一直有意感染 Mikrotik 设备,目前这些产品在中东和东南亚很受欢迎。
美国国家情报总监办公室、NSA 和 美国特种作战司令部(SOCOM)的发言人均拒绝发表评论。
曝光 Slingshot 卡巴斯基遭美官员质疑
多名美国网络安全人员表示,他们对卡巴斯基曝光美国网络间谍行动的做法并不感到吃惊或愤怒。这些专家表示,卡巴斯基设法阻止针对其客户的网络攻击,这是理所应当的。包括现任美国官员在内的多名消息人士则表示,他们之所以感到愤怒,其原因在于公开曝光 Slingshot 可能会危及生命。
目前,尚不清楚,卡巴斯基是否预料到 Slingshot 最终会使美国机密反恐计划曝光。一名高级美国情报官员声称卡巴斯基这么做是“蓄意的”。卡巴斯基全球研究与分析小组(GReAT)非常擅长于了解不同威胁攻击者在网络上的信息需求,他们会考虑地缘政治环境,这一点已多次在他们身上得以体现。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
