2021 年,随着数字货币的流行以及国家间对抗的加剧,以“高级持续性威胁”(APT)组织为代表的黑客组织高度活跃,严重危及各国的政治、经济和军事安全,甚至一度引发社会动荡。这一年来,利用主流产品的漏洞入侵系统仍是黑客组织最青睐的攻击手段,被利用的零日漏洞仅上半年内就多达 40 个,范围遍及 Window、Microsoft Office、iOS、Android 和 Chrome等几乎所有主流系统和软件;自“太阳风”事件以来,软件供应链已然沦为黑客攻击的重灾区,拥有海量客户的国际航空电信协会(SITA)和代码测试公司 Codecov 相继遭到入侵;针对网络安全机构的攻击日益增多,黑客组织试图直接掠夺前者的研究成果为己所用。这一切都反映出黑客组织的活动呈继续上升之势,防范 APT 威胁仍是网络安全领域的重中之重。鉴于黑客组织为数众多、难以尽述,笔者便选取了五个在 2021 年中相对活跃且具有代表性的组织,以管窥 2021 年中全球黑客组织的活动态势。
一、DarkSide
Darkside 是疑似来自东欧地区或俄罗斯的勒索软件组织, 一般认为其没 有政府背景。Darkside 从 2020 年 8 月开始活动, 并因 2021 年 5 月攻击美国 最大的油气管道运营商 Colonial Pipeline 而声名鹊起。Darkside 主要针对以 美国为首的非斯拉夫语系国家,且不攻击医院、收容所、学校、大学、非 营利组织或政府机构,而是专注于有能力支付巨额赎金的大型企业,为此 还会事先分析目标的财务状况。Darkside 的目的是获取经济利益, 因攻击 Colonial 公司而引发美国社会动荡多半不在其预料之内。在美国的强大压力下, Colonial 事件一结束, Darkside 便被迫终止运行。
1.1 活动情况
1.1.1 2021 年内的活动
2021 年 5 月, 美国最大的燃油管道商 Colonial Pipeline 遭到勒索软件攻 击,该公司被迫关闭了主要的燃料传输管道,导致美国东海岸多达 45%的 燃料供应中断, 并引发美国民众恐慌性抢油。Colonial 公司于攻击当日就已 向 DarkSide 支付了 440 万美元赎金, 但由于后者提供的解密工具恢复速度 过慢, Colonial 公司最后只得使用备份数据恢复系统, 并于 17 日完全恢复 正常的燃料供应水平。
1.1.2 以往的重大活动
DarkSide 属于新兴组织, 在 Colonial 事件前没有引起广泛关注的重大 活动, 只有一家加拿大软件公司在 2020 年沦为其受害者。不过 Darkside 于 2020 年 11 月推出了一种“勒索软件即服务”(RaaS)模式,以供其它网络 犯罪组织有偿使用其开发的勒索软件。
1.2 活动特点
1.2.1 攻击范围十分明确
Darkside 的勒索软件会检查所入侵系统的位置和语言, 以绕开大部分前 苏联加盟国(波罗的海三国不在此列)以及叙利亚。此外 Darkside 还在公 开声明中明确表示,其不会攻击医疗机构、教育机构、公共部门和非营利 组织。网络安全公司 Digital Shadows 认为 Darkside 很可能在利用 ZoomInfo 等市场调查公司的数据来判断受害者的偿付能力,以便将目标锁定在实力雄厚的公司身上。从实际影响来看, 受 Darkside 勒索软件影响最大的国家 是美国, 但计算机感染率最高的国家是以色列。
1.2.2 对外提供勒索“服务”
Darkside 不但直接投放勒索软件以索取赎金, 还向其他网络犯罪份子提 供所谓的 RaaS 服务, 即允许这些“客户”使用他们的勒索软件(甚至可在 一定程度上为“客户”定制这些软件)攻击目标,并以分享对方得到的赎 金作为回报。网络安全公司 Mandiant 称, Darkside 至少向五伙网络犯罪份 子提供了其开发的勒索软件。
1.2.3 实行多重勒索策略
和近年来的许多勒索软件组织一样, Darkside 采取了双重勒索策略, 即 同时以数据加密和数据泄露来威胁受害者。在 2021 年 4 月, Darkside 又在 其 RaaS 服务中新增了 DDoS 攻击作为威胁, 从而将双重勒索策略升级为三 重勒索策略。
1.3 典型工具
DarkSide 只开发了一款同名勒索软件,并对该软件进行过更新。该软 件会通过网络钓鱼、滥用远程桌面协议( RDP)以及 CVE-2019-5544 和 CVE-2020-3992 等已知漏洞来获取初始访问权限,然后收集关于计算机名 称和系统语言的信息,以确定该系统是否在攻击范围以内。之后 DarkSide 会通过横向移动来获取域控制器(DC)或Active Directory 访问权限, 以此 窃取凭据、提升权限(比如通过 CMSTPLUA COM 接口的 UAC 绕过技术 来获取管理员权限)和获取有价值的数据。该软件具有以下特点:
1.3.1 识别攻击对象
DarkSide 勒索软件最先启动的功能就是收集系统信息,如果判定系统 属于禁止攻击的对象, DarkSide 则不会攻击该系统。
1.3.2 代码与 REvil 相似
DarkSide 勒索软件与另一款著名的勒索软件 REvil 有许多相似之处, 比 如赎金票据的结构相近,都利用 PowerShell 工具从网络中删除卷影副本, 并都会建立加密信道以便与受害者沟通。这意味着这两个勒索软件组织可 能存在人员上的交互。
1.3.3 利用洋葱网络隐藏身份
DarkSide 勒索软件主要依靠 RDP 客户端通过 443 端口建立命令与控制 (C2)信道, 然后通过 HTTPS 加密协议和洋葱网络(Tor)重新定向发送 至本地端口的流量,从而将 C2 流量混入正常的 Web 流量,以增加检测和 溯源难度。
1.4 常用攻击技术
DarkSide 会通过网络钓鱼以及利用可远程访问的帐户、系统和虚拟桌 面基础设施(VDI)获得初始访问权限,然后部署 DarkSide 勒索软件以加 密和窃取数据。DarkSide 勒索软件会根据操作系统选择不同的加密算法:对 Linux 系统使用 RSA-4096 和 ChaCha20 流密码, 对 Windows 系统则使用 RSA- 1024 和 Salsa20 算法。DarkSide 常用的攻击技术包括:
1.4.1 初始访问
DarkSide 勒索软件会通过网络钓鱼、滥用远程桌面协议(RDP)以及 CVE-2019-5544 和 CVE-2020-3992 等已知漏洞来获取初始访问权限,而在 整个攻击过程中, DarkSide 的攻击人员还会使用 PowerShell 等合法的工具 来掩盖攻击。
1.4.2 横向移动
DarkSide 勒索软件会利用 PSExec 和 RDP 来实现横向移动/远程执行, 主要目标则是控制域控制器(DC)。一旦控制 DC,该软件就会开始收集其 它敏感信息和文件(包括存有目标密码的 SAM), 并利用 PowerShell 工具 从此前已被感染的其它主机创建的共享文件夹中下载该软件的二进制代码。在获取所有必要数据后,该软件便会利用 bitsadmin.exe 将这些代码传播到 内网环境中的其它设备上, 以实现最大程度的扩散。
1.4.3 数据渗漏
和其它双重勒索软件一样,在加密文件前, DarkSide 勒索软件会先利 用合法工具来向黑客组织传输这些文件,即所谓的“数据渗漏”。DarkSide 勒索软件会利用 7-Zip 压缩工具来压缩文件, 然后通过 Rclone 和 Mega 客户 端上传至云空间, 同时利用串行接口连接软件 PuTTy 来传输文件。此外 DarkSide 还使用了隐藏在 Tor 中的多个站点来托管所窃取的数据。
二、Turla
Turla 亦称 Waterbug 、Venomous Bear、Belugasturgeon 、Ouroboros 和 Snake 等, 是专门攻击政府机构的老牌国家级黑客组织, 据信获得了俄罗斯 联邦安全局(FSS)反情报处( SKR)的支持。Turla 从 1996 年开始活动,自 2015 年起活动力度有所增大, 目前其活动范围已扩展至 45 个国家。Turla 的目的主要是从外交、政务、军事和科研部门窃取情报,目前已知的受害 单位包括美国中央司令部、美国国务院、美国航空航天局、德国外交部、 比利时、乌克兰、中国、约旦、希腊、哈萨克斯坦、亚美尼亚、波兰和德 国的大使馆、法国军队以及瑞士军工企业 RUAG 等,此外 Turla 也曾攻击 过俄罗斯境内存在腐败嫌疑的目标。
2.1 活动情况
2.1.1 2021 年内的活动
Turla 在 2021 年内的最主要活动仍是 2020 年 12 末曝光、此后一直余波 未了的“太阳风”(SolarWinds)软件供应链攻击活动。据信 Turla 和受俄罗 斯对外情报局( SVR)支持的黑客组织 APT29 展开合作,早在 2019 年 4 月就在“太阳风”公司的网络管理软件 Orion 中植入名为 Sunburst 的后门, 而该后门与 Turla 此前开发的 Kazuar 存在若干相同特征。Turla 利用该后门 入侵多国政府部门、关键基础设施以及全球 500 强企业的内部网络,是近 十年来最严重的网络安全事件之一。
此外网络安全公司思科(Cisco)还于 2021 年 9 月发现, Turla 至少从 2020 年起就部署了一种名为 TinyTurla 的后门。该后门的代码非常简单, 难 以被安全工具判定为恶意软件,因此即使清理掉了其它恶意软件,黑客也 仍可通过该后门再次入侵系统。
2.1.2 以往的重大活动
Turla 曾发动过多次重大网络攻击活动,其中最引人注目的活动如下:
Moonlight Maze:1996 年, Turla 从美国航空航天局、美国国防部、美国能源部及其它许多美国政府机构、科研机构及军 事承包商的网络中窃取了大量保密信息,包括技术 信息、军事地图、军队部署、军用硬件的设计以及 加密技术等。
Agent.BTZ:2008 年, 驻中东美军人员拾取了带有 Agent.BTZ 蠕 虫病毒(由 Turla 开发的窃密软件, 能够扫描计算机 中的敏感信息,并将数据发送到远程命令与控制服 务器) 的 U 盘,并将其插入军用电脑,导致病毒扩 散到美军中央司令部的网络中, 最终美军花了 14 个 月才将该病毒清理干净。此事件迫使美军全面禁用 U 盘,并因此建立了网络司令部。
Epic Turla:2013 年,网络安全公司卡巴斯基发现了名为“Epic Turla”的大规模网络间谍活动,此次活动中有超过45 个国家/地区的数百台计算机被感染,主要入侵 目标是欧盟国家的内政、商贸、外交、情报、军事、 研究和教育机构以及制药公司,其中法国是受害最 严重的国家。
2.2 活动特点
2.2.1 主要针对 Windows 平台
Turla 的网络攻击活动主要针对 Windows 平台, 并为此开发了多语言环 境下的自研特马和开源木马,其中部分特马不断更新, 迄今仍在使用。
2.2.2 借助卫星通信隐藏身份
自 2007 年以来, Turla 利用卫星通信中固有的安全缺陷来隐藏 C2 服务 器的位置和控制中心,并倾向于选择使用仅覆盖非洲地区的卫星提供商, 这使非洲之外的研究人员很难调查 Turla 小组的活动。
2.2.3 劫持其它 APT 组织的基础设施
Turla 曾于 2017 年至 2018 年间入侵伊朗黑客组织 APT34 的服务器, 利 用被 APT34 感染的计算机来投放 Turla 自己的恶意软件, 而 APT34 似乎对 此毫无察觉。
2.3 典型工具
Turla 的工具库中包括具备数据收集和shell 执行功能的后门, 具备远程 监测与控制功能的组件以及开源工具等。这些工具种类繁多, 难以追踪, 且大多都能及时进行技术更新。这些工具主要有以下特点:
2.3.1 采用多种持久化设计
为确保长期渗透, Turla 采用了将 Powershell 的攻击核心载荷存储于 Windows 注册表项中以及注册自启服务等多种持久化方式。
2.3.2 注重环境适用性
为保证攻击载荷能在多种 PC 环境下稳定运行, Turla 为其大部分攻击 组件编写了与环境适配、工具探测及绕过安全机制有关的代码。
2.3.3 加密算法独特
Turla 的攻击组件不使用常见的传统加密算法, 而是采用了独特的加密算法和密钥。
表 1 Turla 使用的部分典型工具
2.4 常用攻击技术
Turla 擅于利用鱼叉攻击和水坑攻击等社会工程学手段来投送攻击载荷, 再利用后门收集 PC 数据, 然后根据所得数据来决定是否实施下一阶段的攻 击。之后攻击载荷会在攻击者的指示下于局域网横向移动,并通过管道协 议的 RPC 通信监听局域网段。Turla 常用的攻击方式包括:
2.4.1 鱼叉攻击
Turla 惯于投递夹带恶意程序和漏洞的电子邮件,并通过社会工程学手 段诱导用户点击执行文件。其鱼叉攻击载荷通常为漏洞文件、宏文件或伪 装安装包。
2.4.2 水坑攻击
Turla 偏爱引诱目标受害者访问设有“水坑”的合法网站。早期 Turla 倾向于在网站中嵌入 JavaScript 代码,并在用户访问的时候执行这些代码, 以获取浏览器的插件列表等信息;近期 Turla 的攻击方式则更为直接, 比如 在完成指纹识别后下发恶意的 Adobe Flash 安装包。
2.4.3 MITM 流量劫持与篡改
Turla 曾多次以“中间人攻击”(MITM)的方式劫持 Adobe 的网络, 从 而暗中替换用户下载的软件更新包, 由此控制目标主机。不过该方式需获 取核心路由权限, 甚至需要劫持企业/政府的关键节点。
三、APT29
APT29 亦称 Cozy Bear 、Dark Halo 、The Dukes 和 NOBELIUM 等,是 主要攻击北约及欧盟成员国政府网络、研究机构和智库的黑客组织,据信 获得了俄罗斯对外情报局( SVR)网络行动中心(COC)的支持。APT29 从 2008 年开始活动,目前其活动范围已扩展至 40 多国。APT29 的目的主 要是收集情报,以支持俄罗斯的外交和安全政策。目前已知的受害者包括 美国国防部、美国国务院、白宫、美国民主党全国委员会、美国共和党全 国委员会、荷兰警方、荷兰总务部、挪威国防部和挪威外交部等政府机构, 新美国安全中心(CNAS)、国际战略研究所(IISS)和美国对外关系委员 会(CFR)等知名智库, 以及新冠疫苗研发机构等科研院所。此外据称车臣 叛乱组织和俄罗斯贩毒团伙等非法组织也属于 APT29 的攻击目标。
3.1 活动情况
3.1.1 2021 年内的活动
2021 年 7 月, APT29 入侵了美国共和党全国委员会(RNC)的承包商Synnex 的计算机系统。作为微软解决方案的分销商, Synnex 证实有黑客试图通过微软云环境入侵其客户的网络, RNC 在得知此事后立即关闭了 Synnex 账户对其云环境的访问权限, 而微软检查 RNC 的系统后未发现入侵 迹象。
3.1.2 以往的重大活动
APT29 曾发动过多次重大网络攻击活动, 其中最引人注目的活动如下:
Ghost:2019 年 10 月,网络安全公司 ESET 发现 APT29 至少从2013年起就入侵了三个欧洲国家的外交部以及一个 欧盟国家的驻美大使馆。APT29 在活动中使用了MiniDuke 等五种后门, 并利用 Twitter、Imgur 和 Reddit等社交平台作为主要的命令与控制(C2)渠道。
入侵五角大楼:2015 年, 美国国防部的非保密电子邮件系统遭到APT29 的鱼叉式网络钓鱼攻击,后者使用的恶意软件 能够快速收集大量数据, 并在一分钟内就将收集到的 所有信息发送给互联网上的数千个加密帐户。美国国 防部在几天后才发现遭到入侵, 随即将上述邮件系统 暂时关闭了近两周, 导致约 4000 名军职和文职人员的工作受到影响。
入侵 DNC:2016 年, APT29 与 APT28 (据信受到俄罗斯情报部门支持的另一个黑客组织) 共同攻击了美国民主党全国 委员会(DNC)的网络, 有数十个 DNC 电子邮箱沦为鱼叉式网络钓鱼的攻击目标。APT29 窃取了数千份文 件, 其中包括民主党的战略文件、筹款数据以及政治 对手分析等, 数据量多达 300 GB 左右。APT29 将一些 电子邮件交给维基揭密(WikiLeak)网站, 后者随即 发布了这些邮件, 此举对美国民主党的声誉造成巨大 打击,甚至可能影响了 2016 年的美国大选。
入侵挪威政府:2017 年, 挪威警察安全局(PST)指控 APT29 对挪威国防部、外交部、辐射防护局、工党和一所学校的 9 名重要人物(包括 PST 局长) 的电子邮箱实施鱼叉式 网络钓鱼攻击。此次攻击的目标不明,但 PST 声称黑客并未获取任何保密信息。
太阳风事件:2020 年,网络安全公司 FireEye 发现 APT29 和 Turla早在 2019 年 4 月就在“太阳风”公司的网络管理软件 Orion 中植入名为 Sunburst 的后门, 由此入侵了多国政 府部门、关键基础设施以及全球 500 强企业的内部网 络,堪称近十年来最严重的网络安全事件之一。
3.2 活动特点
3.2.1 擅长大规模鱼叉式网络钓鱼
APT29 在多次重大活动中都采用了大规模鱼叉式网络钓鱼的攻击方式, 其会向特定范围内的数百甚至数千个电子邮箱发送带有恶意链接或恶意程 序的邮件,一旦入侵成功,其恶意程序就会快速收集受感染设备的数据并 上传至 APT29 控制的服务器。之后一旦通过数据分析从中发现较有价值的目标, APT29 就会迅速改用其它工具,以便更隐蔽地长期入侵该目标。
3.2.2 着重收集地缘政治情报
不同于具有相似背景的 APT28 ,APT29 一般不实施破坏性攻击, 而是 以更加隐蔽而复杂的手段收集地缘政治情报,比如其虽入侵了美国两党、 挪威政府和荷兰政府的网络, 但皆未采取任何破坏行动。
3.2.3 编码水平高超
APT29 很罕见地采用了汇编语言来编写代码,此类语言编写困难, 调 试不易, 但能高效且精确地执行恶意程序。此举意味着 APT29 成员拥有十 分高超的编程能力,能够熟练运用此类使用不便的低级语言来开发最高效 的恶意软件。
3.3 典型工具
APT29 的工具库十分丰富, 其中有大量服务于鱼叉式网络钓鱼的工具, 比如内藏恶意宏的 Word 文档和作出初始后门的 HammerToss 和 PowerDuke 等, 另外也有通过初始后门下载的次级后门 POSHSPY、用于执行任意 shell 命令的 WellMess 以及用于入侵 VPN 服务的 SoreFang 等形形色色的工具。这些工具主要有以下特点:
3.3.1 利用域名前移规避审查
虽然 Tor 可以有效防止溯源, 但攻击方若直接通过 Tor 入侵目标, 则可 能被某些防御机制判定为可疑流量。有鉴于此, APT29 利用 Meek 插件将 Tor 流量包装到看似无害的 google.com HTTPS POST请求中, 从而通过这种“域名前移”(Domain Fronting)技术来规避网络审查。
3.3.2 依靠社交平台传递 C2 命令
APT29 往往不会在服务器与受感染设备之间建立专门的命令与控制 (C2)信道, 而是借助 Twitter 和 github 等社交平台来控制恶意软件, 以利 用合法数据流来掩盖 C2 指令。举例来说, APT29 会让恶意软件定时访问某 个 Twitter 账户, 而 APT29 会按时用该账户发送一条带网址链接的推文。该 网址指向的图片看似正常, 实则是藏有 C2 指令并附带密钥的加密图片。
3.3.3 利用隐写术加强隐蔽性
APT29 的恶意软件 PolyglotDuke 和 RegDuke 使用了图像隐写术来隐藏 C2 命令,在用于发布命令的 png 图片中,每个像素的 RGB 值都存放了 1 字节的信息, 而恶意软件可按预定顺序识别出这些信息, 再将其组合成 AES 加密字符串,从而解密出完整命令。
表 2 APT29 使用的部分典型工具
3.4 常用攻击技术
APT29 通常使用公开可用的漏洞来大范围扫描和利用安全水平不佳的 系统,以此获取身份凭证。之后 APT29 可能会暂时按兵不动,以免被网络 安全工具和人员所察觉;而当使用窃取的凭证时, APT29 则可能使用 Tor 和 VPN 等匿名信道来传输 C2 命令和数据。APT29 常用的攻击技术包括:
3.4.1 落地环境检测
为加强攻击的针对性以及避免落入蜜罐等虚拟环境, APT29 的早期恶 意软件 Dukes 系列采用了一种基于数理统计的简单检测方式。APT29 会在 环境检测代码中设置一个初始值为 0 的score 变量, 然后逐一检测是否存在 杀毒软件、是否处于虚拟环境、是否存在安全工具、是否包含异常 PC 用户 名称以及是否存在异常文件名称等。如有任何匹配, 则在 score 值的基础上 加上对应权值, 待检测代码执行之后再将 score 值与给定阈值进行比较, 以 判断当前环境是否为目标环境。
3.4.2 软件延时上线
为了隐藏核心 APT 特马, APT29 的部分恶意软件在入侵设备后, 会用 特定算法来计算休眠时间,然后进入暂时休眠状态。举例来说,“太阳风” 事件中的 APT29 木马就会在入侵后进行为期 12 到 14 天的休眠。
3.4.3 数据混合加密
APT29 的恶意软件往往会采用独特的混合式加密算法。以 WellMess 为 例,该木马会通过 HTTP header 的 Cookie 字段传输 C2 指令,并通过 RC6 +Base64+垃圾数据混淆的混合方式加密此类指令(RC6 密钥多以硬编码形式存在于木马的二进制文件中)。
四、Lazarus
Lazarus 亦称 Hidden Cobra 、Zinc 、APT-C-26 和 Guardians of Peace 等, 是规模最大且最活跃的朝鲜黑客组织,据信隶属于朝鲜情报机构侦察总局 (RGB)第 121 局第 110 号实验室。Lazarus 从 2007 年开始活动,自 2013 年起活动力度有所加强。Lazarus 的活动范围遍及全球 20 多个国家, 但头 号攻击对象始终是韩国和美国。Lazarus 的目的主要是从全球各地的金融机 构窃取资金和通过勒索软件索取赎金,获取技术情报, 并攻击损害朝鲜形 象的机构。目前已知的受害者包括韩国政府、多家韩国银行、索尼影视公 司、若干美国国防承包商以及全球多家加密货币交易所。
4.1 活动情况
4.1.1 2021 年内的活动
2021 年 1 月,谷歌安全团队发现 Lazarus 长期潜伏在 Twitter、LinkedIn 、 Telegram 等社交媒体,冒充网络安全人员与真正的网络安全人员进行交流, 博取信任后以共同研究漏洞为幌子, 向对方发送内含恶意软件的 Visual Studio 项目文件, 或是诱使对方访问内藏恶意代码的博客, 从而入侵对方的 系统。此举可令 Lazarus 直接窃取网络安全人员最新发现的漏洞, 大大节省 黑客工具的研发成本。
4.1.2 以往的重大活动
Lazarus 曾发动过多次重大网络攻击活动,其中最引人注目的活动如下:
Troy:2009 年, Lazarus 向白宫、美国国防部、纽约证券交易所和韩国总统府等美韩重要政企网站发起大规模分布 式拒绝服务(DDoS)攻击, 包括韩国总统府、韩国国 防部、韩国国会、新韩银行、韩国外汇银行和顶级互联网门户网站 Naver 在内的韩国重要网站因此瘫痪。
DarkSeoul: 2013 年, Lazarus 擦除了韩国 3 家电视台和 3 家银行的近 4 万台计算机的硬盘数据, 导致相关银行的业务中断数天,造成约 7.5 亿美元的损失。
Blockbuster:2014 年, 索尼影视公司因拍摄嘲讽朝鲜领导人的电影而引起朝方强烈不满, Lazarus 随即入侵索尼公司的内部 网络,窃取了约 6800 名员工的个人记录、工资数据和 电子邮件, 以及索尼的商业记录、几部未发行的电影和 尚未拍摄的剧本, 并删除了 3000 多台计算机和 800 多 台服务器上的数据。此次攻击迫使索尼取消了另一部关 于朝鲜的电影。
SWIFT 劫案:2016 年, Lazarus 通过 Alreay 攻击组件篡改极其重要的跨国结算系统“环球同业银行金融电讯协会”(SWIFT) 软件, 然后将孟加拉国央行存储在纽约联邦储备银行的 10 亿美元转入位于斯里兰卡和菲律宾的非法账户, 最终 有 6300 万美元未能追回。
WannaCry:2017 年, Lazarus 利用美国国家安全局(NSA)存储并泄露的“永恒之蓝”(Eternal Blue)漏洞来散布勒索软 件 WannaCry,该软件最终感染了 150 多个国家的 30 多万台计算机, 光是英国就有三分之一的医院因受到攻击 而瘫痪, 而全球范围内造成的损失超过 40 亿美元。
AppleJeus:2018 年起, Lazarus 以虚假加密货币交易公司的名义开 发了多款看似合法、实则内藏木马的加密货币交易应用 程序, 以便从下载者的账户中窃取加密数字货币, 其受 害者遍及全球 30 多个国家。
4.2 活动特点
4.2.1 经济动机明显
在朝鲜遭到国际制裁的背景下, 为绕开制裁及获取外汇, Lazarus 的首 要动机就是窃取美元资产。为此 Lazarus 攻击过韩国、美国、孟加拉国、墨 西哥和乌拉圭等国的银行及加密货币交易平台,是对金融机构威胁最大的 APT 之一。
4.2.2 注重意识形态
Lazarus 可能是唯一对影视公司发动大规模攻击的知名 APT 组织, 其在 2013年对韩国媒体的攻击以及2014年对索尼影视公司的攻击显然是出于意 识形态, 并确实在一定程度吓阻了对朝负面宣传。
4.2.3 组织分工明确
Lazarus 下设三个小组, 其中 BlueNorOff 小组(亦称 APT 38 或 Stardust Chollima)负责伪造 SWIFT 指令,以便实现非法转账;AndAriel 小组(亦 称 Silent Chollima)专门攻击韩国, 韩国的政府、国防和金融机构皆是其攻 击目标;BeagleBoyz 小组负责从发展中国家的银行系统中窃取资金,自 2015年以来, 该小组已尝试窃取近 20 亿美元的资金。
4.3 典型工具
Lazarus 的工具库中包括复杂的定制版恶意软件、 DDoS 僵尸网络、擦 除器、勒索软件和 SWIFT 软件篡改工具等, 这些工具的代码有许多相似之 处, 可见 Lazarus 背后应有稳定的黑客工具开发团队。这些工具主要有以下 特点:
4.3.1 注重擦除程序
Lazarus 开发了 DESTOVER 等配备擦除功能的恶意软件, 这些工具可 以删除硬盘数据和事件记录等,以便实施破坏性攻击或在行动后擦除攻击 者的活动痕迹。
4.3.2 采用反取证技术
Lazarus (尤其是 Bluenoroff 小组)的恶意软件往往会采用组件分离技 术,以加大取证难度。
4.3.3 实施多层加密
为掩盖黑客活动, Lazarus 不但会在受感染的服务器之间建立 SSL 加密 信道,还会加密在这些信道间传输的数据。
表 3 Lazarus 使用的部分典型工具
4.4 常用攻击技术
Lazarus 早期多利用僵尸网络对目标进行 DDoS 攻击, 中后期改用鱼叉 攻击、水坑攻击和供应链攻击等手段,并对高价值人员实施针对性的社会 工程学攻击。总的来说, Lazarus 的攻击周期普遍较长, 通常会长时间潜伏 在目标网络中。此外为加大溯源难度, Lazarus 每次攻击后都会修改其工具 集的源代码。Lazarus 常用的攻击技术包括:
4.4.1 鱼叉攻击
Lazarus 通常以夹带恶意文档(多为 docx 格式, 后期增加了 bmp 格式) 的邮件作为诱饵, 并主要利用恶意宏、 Office 常见漏洞、零日漏洞和植入远 程访问工具(RAT)的方式实现入侵。
4.4.2 水坑攻击
Lazarus 惯于对欠发达地区的小规模银行及金融机构使用水坑攻击, 比 如 Lazarus 于 2017 年在波兰金融监管机构的官方网站中植入恶意JavaScript 漏洞, 从而将恶意软件下载至访问该网站的用户设备上。Lazarus 的恶意软 件最多感染了 31 个国家的 104 个组织, 其中大多是波兰、智利、美国、墨 西哥和巴西的金融机构。
4.4.3 社会工程学攻击
Lazarus 十分擅长社会工程学攻击手段, 甚至可能是最擅长冒充身份的 APT 组织。比如在 2020 年, Lazarus 不但冒充卫生官员向制药公司索取关 于新冠疫苗的信息,还冒充加密货币交易平台的招聘人员, 通过向求职者 发送恶意文档的形式入侵对方的加密货币钱包。
五、Cyber Partisans
Cyber Partisans 是白俄罗斯的反政府黑客组织, 其自称共 15 人, 其中 3 到 4 人负责实施网络攻击, 其他人则负责分析获取的数据。Cyber Partisans 从 2020 年 8 月的白俄罗斯总统大选后开始活动, 并因利用网络攻击来支持 反政府活动而声名大噪。Cyber Partisans 的目标是通过泄露保密信息和篡改 政府网站信息等方式来影响舆论,从而破坏白俄罗斯的政治稳定,最终颠 覆现政府。Cyber Partisans 的活动目前只针对白俄罗斯政府、公务人员及亲 政府人士,尚无企业及一般公众受到攻击的案例。
5.1 活动情况
5.1.1 2021 年内的活动
2021 年 7 月, Cyber Partisans 入侵了白俄罗斯内政部数据库, 获取了政 府秘密监听的电话记录(总时长近 200 万分钟)、警方线人名单、政府官员 的个人信息,警方无人机拍摄的视频、拘留中心的监控录像、护照数据、 机动车辆注册信息以及新冠疫情死亡率统计数据等, 数据总量超过 5T。考 虑到这些信息的重要性,此次入侵堪称史上最成功的黑客攻击之一。举例 来说, 白俄罗斯驻外特工的护照信息和便衣警察车辆信息等保密信息一旦外泄,就极有可能危及白俄罗斯的国家安全。
此外为妨碍白俄罗斯当局镇压游行示威, Cyber Partisans 还于 9 月公布 了 1000 多名高级警官的个人信息(包括姓名、出生日期、 所属部门和职务 等), 此举可能使这些警官因害怕被私下报复而在镇压行动中束手束脚。
5.1.2 以往的重大活动
Cyber Partisans 在 2021 年前没有发动过重大网络攻击, 仅开展过一些 象征意义大于实际意义的入侵活动。这些活动主要集中在 2020 年 9 月, 主 要包括:入侵白俄罗斯国营媒体 All-National TV 和 Belarus- 1 的线上频道, 将新闻替换为警察镇压示威者的片段;入侵白俄罗斯内政部网站,将总统 卢卡申科和内政部长尤里列入网页上的通缉名单;入侵白俄罗斯总统府网 站,在网页上展示白红相间的旗帜(反政府活动的象征)。
5.2 活动特点
5.2.1 与反对派里应外合
Cyber Partisans 之所以“战果丰硕”,很可能是因为该组织与 BYPOL 等其它反政府团体进行了密切合作。BYPOL 的成员中不但有许多前政府官 员,甚至还有数百人仍在安全机构、内政部和边境管制部门等政府部门任 职。BYPOL 曾明确表示,其不但向 Cyber Partisans 提供了政府数据库结构 等技术信息, 还提供了安全部门对黑客活动的反应等重要情报。不难想象, BYPOL 或许还向 Cyber Partisans 提供了身份凭证、系统薄弱环节和访问权 限等便利条件, 甚至直接将内部人员窃取的数据交给 Cyber Partisans。
5.2.2 竭尽所能颠覆政府
不同于追求经济利益的勒索软件团伙和遮遮掩掩的国家级 APT,Cyber Partisans 宣布其唯一目标就是推翻白俄罗斯现政府, 堪称全球政治倾向最明 确的黑客组织。Cyber Partisans 为此实施了各式各样的黑客活动, 包括利用 “电报”(Telegram)等匿名社交平台及 Nexta 等境外媒体频繁发布对现政 府不利的信息,篡改政府机构及国营媒体的网站,曝光安全人员信息,以 及建立对政府目标发动网络攻击的悬赏平台等。尽管这些活动不足以直接 推翻政府, 但确实使白俄罗斯政府承受了巨大的压力, 比如美国就以 Cyber Partisans 发布的信息为由, 对白俄罗斯实施了制裁。
5.2.3 积极配合游行示威
Cyber Partisans 将游行示威视为推翻现政府的最大希望, 因此采取了多 种手段来支援游行示威。举例来说, Cyber Partisans 在谷歌地图的基础上绘 制路障地图,以便示威者避开警方关卡;启动“白俄罗斯黑地图”等平台 来曝光安全人员的家庭住址和联系方式,甚至利用人脸识别技术来揭露蒙 面特警的身份, 以借社会之手向这些人员施加压力;入侵 240 多个街道监 控摄像头,由此绘制了一张标明摄像头位置、类型和视角等信息的地图, 以供示威者更好地躲开官方监控。这些行为明显助长了游行示威的势头, 加剧了白俄罗斯的政局动荡。
5.3 典型工具与攻击技术
Cyber Partisans 并未使用能在网络中大肆传播的感染型黑客工具, 白俄 罗斯政府显然也不会透露政府网络的漏洞,因此外界对该组织使用的工具 和技术知之甚少。目前仅知道 Cyber Partisans创建了一个网络社区, 以便与白俄罗斯的其它反政府黑客组织共享云基础设施、工具、代码、虚拟专用 网络(VPN)和各类开源系统, 并将其获取的数据以加密形式保存在不联 网的服务器上。不过 Cyber Partisans 于 2021 年年中表示,其准备使用一款 名为“X-App”的恶意软件来关闭政府部门的计算机。此外正如前文所述, 虽然没有公开任何细节, 但基本可以肯定政府部门中的“内鬼”为 Cyber Partisans 提供了很大帮助。
六
近期黑客组织活动趋势
6.1 网络安全机构沦为新目标
2020 年 12 月, 不明黑客组织从顶级网络安全公司“火眼”(FireEye) 处窃取了测试用的网络攻击工具,这标志着继政府机构和大型企业后,连 网络安全的保护者也不幸沦为了黑客组织的围猎对象。以 Lazarus 在 2021 年中的活动为例, 该组织提前一年就在推特、 Github 和 Youtube 等社交平台 上注册了账号, 然后连续数月发布与漏洞安全有关的文章。这些文章获得 了大量网络安全人员的关注和转载, 从而使这些由 Lazarus 操控的账号赢得 了网络安全界的普遍信任。此后 Lazarus 便以共同研究为名, 向网络安全人 员发送带有恶意代码的 POC 源码包, 从而悄然入侵对方的设备和系统。 Lazarus 等黑客组织之所以试图入侵网络安全机构, 多半是为了窃取后者发 现的漏洞或研发的测试工具,从而大大减少在攻击准备付出上的成本。从 Lazarus 不惜花费一年时间进行布局来看, 网络安全机构的成果对黑客组织 来说颇具吸引力, 未来针对此类机构的攻击很可能出现爆发式增长。
6.2 软件供应链攻击趋于常态化
从2020年起,以软件供应商为目标的供应链攻击逐渐与日俱增。在2021 年上半年, 有多家知名软件供应商都遭到黑客攻击, 从供应、设计、研发、 服务直到运维的各个环节都未能幸免。在 2020 年中, 软件供应链攻击还仅 仅针对政府和教育界;而到 2021 年,此类攻击则进一步蔓延到交通等领域, 比如有黑客组织于 2021 年 3 月入侵了 SITA 的旅客服务系统,由此窃取了 十余家航空公司的旅客私密数据。在选择软件供应链攻击的具体目标时, 除了攻击主流产品的软件供应商以及供应商与用户之间的代理机构外, 为 了更有利于接触最终目标单位的核心数据,黑客组织还会优先选择长期为 该单位提供专属信息通信技术(ICT)服务的供应商, 比如 2021 年 11 月对 美国联邦调查局(FBI)对外邮件系统的入侵就是如此。即使在网络安全事 件频发的今日,绝大部分用户也仍旧默认供应商提供的软件皆安全无虞, 而黑客组织必然会继续利用这种心态,将软件供应链视作最“有用”的攻 击目标之一。
6.3 攻击手法紧跟时事热点
利用人性弱点的社会工程学攻击向来是所有黑客组织的惯用手段, 其 中一种手法就是以最热门的政治经济信息来吸引受害者, 这一点在 2021 年 中也不例外。这一年来, ScarCruft 、LuminousMoth 和 EdwardsPhesant 等众 多黑客组织继续利用时事热点来引诱用户点击恶意链接。举例来说,名为 SideCopy 的黑客组织就放出新冠疫情相关信息,引诱亚洲和中东地区的外 交和政府机构用户进入含有恶意 HTA 文件和 JS 文件的网站;而在 2021 年 夏季的东京奥运会期间,奥运官方网站和奥组委系统则遭到了数量惊人的 约 4.5 亿次网络攻击(其中大多都是由黑客组织发起的 DDoS 攻击), 此外还出现了不少伪装的奥运相关非法网站,以骗取用户的系统权限和个人信 息。与去年同期相比,黑客组织跟进时事热点的频率和范围已明显上了一 个台阶,对受害者的吸引力进一步加强。毫无疑问,未来黑客组织将继续 以时事热点为饵, 引诱缺乏防范意识的用户在不经意间进入恶意网站或下 载恶意程序。
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。