4月11日訊 安全公司賽門鐵克宣布,從16個國家遭遇的40起攻擊中分析,這些攻擊者使用的工具與“Vault 7”文件中揭露的CIA間諜戰(zhàn)術(shù)中暴露的工具相當(dāng)類似。
例如Fluxwire(CIA)和Corentry(Longhorn)。Fluxwire是維基解密披露的一款CIA網(wǎng)絡(luò)間諜惡意軟件,它包含對新功能添加后的日志變更日期,其變更跟Longhorn黑客組織創(chuàng)建的惡意軟件Corentry的開發(fā)周期很相似。
賽門鐵克在長篇報告中提到高度組織化北美黑客組織“長角牛”(Longhorn),該組織與這40起攻擊均存在關(guān)聯(lián)。雖然未指明Longhorn由CIA特工組成,但是,賽門提克提供了大量證據(jù)。
賽門鐵克寫到,Longhorn使用的工具相當(dāng)符合與維基解密泄露文檔中的開發(fā)時間和技術(shù)規(guī)范,以及共享Vault 7文件中的一些加密協(xié)議。比如使用32位密鑰的AES加密算法、在SSL中使用內(nèi)部加密以防中間人攻擊以及每次連接都要交換密鑰等。以及使用內(nèi)存中字符串反混淆和實時傳輸協(xié)議(RTP)來跟C&C服務(wù)器通信。
除此之外,為了規(guī)避檢測,就連使用的戰(zhàn)術(shù)也與文件中披露的一致。
考慮到使用的工具和技術(shù)如此類似,不禁讓人懷疑Longhorn的活動與Vault 7文件都是同一組織的杰作。
“長角牛”(Longhorn)到底是誰?據(jù)現(xiàn)有資料至少可以肯定的是,“長角牛”(Longhorn)是自2011年以來開始活躍的黑客組織,使用大量后門木馬和0day漏洞攻擊目標(biāo),該組織已經(jīng)滲透進(jìn)國際運作組織。
此外,該組織還盯上了金融、電信、能源、航空航天、信息技術(shù)、教育和自然資源行業(yè)的目標(biāo)。盡管賽門鐵克并未透露目標(biāo)的具體名稱,但他們指出,這些受感染的目標(biāo)分布在中東、歐洲、亞洲和非洲16個國家。美國的計算機(jī)曾遭遇黑客攻擊,但在一小時內(nèi)就啟動了卸載器,說明這起攻擊很有可能是無意之舉。
當(dāng)維基解密開始在網(wǎng)上曝光CIA文件時,賽門鐵克發(fā)現(xiàn)大量這些文件包含的信息與Longhorn開發(fā)的工具“Corentry”木馬近乎一致。Corentry的新功能出現(xiàn)在了賽門鐵克獲取的樣本中。
賽門鐵克的研究人員概述了Vault 7文件中詳述的其它工具,例如Fire和Forget,Archangel有效載荷用戶模式注入規(guī)范。另一文件中詳述的另一工具概述了惡意軟件工具應(yīng)遵循的加密協(xié)議,該協(xié)議被多年應(yīng)用子啊Longhorn使用的工具中。
賽門鐵克自2014年以來一直在跟蹤Longhorn,當(dāng)時Longhorn使用Word文檔中的0day漏洞利用通過Plexor感染目標(biāo)引起了他們的注意。Longhorn用來攻擊目標(biāo)還會使用的其它惡意軟件,包括Corentry、Backdoor.Trojan.LH1和Backdoor.Trojan.LH2。
而且,Longhorn組織將惡意軟件部署到目標(biāo)以前,將通過目標(biāo)特定密語、獨特的命令與控制(C2)域名和返回給攻擊者的通信IP地址進(jìn)行預(yù)配置。Longhorn工具嵌入了大寫的密語,內(nèi)部引用 “groupid”和“siteid”,可能是用來識別活動和受害者。
黑客組織周一至周五打卡上班 目標(biāo)明確賽門鐵克公司表示,Longhorn創(chuàng)建并部署的惡意軟件專為間諜行動構(gòu)建,具有詳細(xì)的系統(tǒng)指紋識別、發(fā)現(xiàn)和滲漏能力。
維基解密曝光Vault 7文件之前,賽門鐵克認(rèn)為Longhorn是參與情報收集行動的組織,該組織具備豐富的資源,分析其工作時間戳表明,他們的工作時間為周一至周五。
這就說明,Lonhorn是國家支持型的黑客組織。既然泄露的文件就擺在眼前,該組織的身份及其幕后黑手也就沒什么懸念了。