只要仍然有效,攻擊者們顯然更樂于復(fù)用既有代碼及工具,并且屢試不爽。目前,這一傳統(tǒng)已再次被證實(shí)。
研究人員發(fā)現(xiàn),并且有證據(jù)表明現(xiàn)代Windows PC攻擊工具中的部分代碼與20年前針對(duì)Solaris的入侵方案存在共通之處。這意味著某網(wǎng)絡(luò)間諜組織仍能夠成功利用20年前就已出現(xiàn)的網(wǎng)絡(luò)工具對(duì)基礎(chǔ)設(shè)施發(fā)起惡意活動(dòng)。
俄黑客組織Turla或與上世紀(jì)“月光迷宮”網(wǎng)絡(luò)間諜組織相關(guān)
上世紀(jì)九十年代中期至末期,美國(guó)軍事與政府網(wǎng)絡(luò)、大學(xué)乃至其它各類研究機(jī)構(gòu)曾遭遇過一波名為“月光迷宮(Moonlight Maze)”的攻擊浪潮。自FBI與美國(guó)國(guó)防部于1999年公布相關(guān)調(diào)查結(jié)果之后,月光迷宮隨即消失。但安全相關(guān)人士表示其背后的網(wǎng)絡(luò)間諜組織從未徹底滅亡。
Turla(某俄羅斯攻擊組織,亦被稱為惡毒熊、Uroburos以及Snake)可能正是當(dāng)年轟動(dòng)一時(shí)的月光迷宮幕后黑手,但直到最近這一猜測(cè)才逐步轉(zhuǎn)化為結(jié)論。
目前,卡巴斯基實(shí)驗(yàn)室與倫敦國(guó)王學(xué)院的研究人員們已經(jīng)找到了將Turla與月光迷宮加以關(guān)聯(lián)的技術(shù)性證據(jù)。
在對(duì)Penguin Turla(一款由Turla開發(fā)的Linux后門工具)以及月光迷宮攻擊當(dāng)中所使用的開源數(shù)據(jù)提取工具后門進(jìn)行對(duì)比分析之后,研究人員們得出了令人信服的結(jié)論。
俄20年前的網(wǎng)絡(luò)工具仍能對(duì)基礎(chǔ)設(shè)施發(fā)起復(fù)雜惡意攻擊-E安全
距離近20年兩者均使用開源LOKI2程序
卡巴斯基實(shí)驗(yàn)室研究員胡安·安德烈斯·格雷羅·薩德解釋稱,二者皆使用了曾于1996年發(fā)表在《Phrack》雜志上的開源LOKI2程序。月光迷宮后門并未被直接部署在現(xiàn)代攻擊活動(dòng)當(dāng)中,但事實(shí)上Penguin Turla確實(shí)使用了同樣的代碼片段。
格雷羅·薩德指出,“這是一款有趣的工具,而且其明顯與月光迷宮出于同一批攻擊者之后”。他同時(shí)解釋稱,研究人員對(duì)43個(gè)月光迷宮二進(jìn)制文件進(jìn)行了研究,并從其中發(fā)現(xiàn)了9個(gè)基于LOKI2的后門實(shí)例。
從表面上看,月光迷宮與Turla之間似乎并無共通之處。月光迷宮主要針對(duì)Sun Solaris系統(tǒng),并利用受感染設(shè)備立足同一網(wǎng)絡(luò)搜索更多潛在受害者。嗅探器組件會(huì)收集受害設(shè)備上的全部活動(dòng),并為攻擊者創(chuàng)建一份完整的惡意活動(dòng)日志記錄??ò退够鶎?shí)驗(yàn)室的研究人員們?cè)谝黄┪闹兄赋?,這相當(dāng)于攻擊者自行創(chuàng)造了一份完備的數(shù)字足跡。
相比之下,Turla則將矛頭指向Windows設(shè)備,且擁有現(xiàn)代惡意工具中的多種常見功能。其中最明顯的是能夠劫持未加密衛(wèi)星傳輸鏈路,并以靜默方式滲透至受害者網(wǎng)絡(luò)中竊取數(shù)據(jù)。然而,Penguin Turla亦常被用于通過*nix服務(wù)器從入侵網(wǎng)絡(luò)內(nèi)提取數(shù)據(jù),從而實(shí)現(xiàn)二次攻擊。
20年的“老姜”黑客工具仍然很辣 令人擔(dān)憂
各類網(wǎng)絡(luò)間諜活動(dòng)與高復(fù)雜度攻擊行為并非總是使用最新代碼。攻擊組織往往會(huì)對(duì)其武器儲(chǔ)備庫(kù)中的代碼進(jìn)行回收與復(fù)用,并通過操作演進(jìn)添加新的功能。
研究人員們得以通過后門代碼成功將其與LOKI2(由發(fā)布于1999年的Linux 2.2.0及2.2.5版本編譯而成)關(guān)聯(lián)起來,另外其中的二進(jìn)制libpcap與OpenSSL則來自2000年初。這批代碼目前仍在使用,卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)就在上個(gè)月Penguin Turla還曾利用其對(duì)德國(guó)目標(biāo)開展攻擊。
格雷羅-薩德表示,這款已經(jīng)擁有20年歷史的黑客工具仍然能夠正常起效,并成功對(duì)現(xiàn)代操作系統(tǒng)與網(wǎng)絡(luò)施以打擊,這無疑“令人恐懼”。月光迷宮攻擊者無需利用任何復(fù)雜的手段以繞過反病毒方案或者安全防御體系。更令人不安的是,舊有代碼通過接入舊有庫(kù)重新在Penguin Turla中再次復(fù)活,并仍可用于攻擊現(xiàn)代計(jì)算設(shè)備。
將這兩輪攻擊行為關(guān)聯(lián)的另一證據(jù)來自月光迷宮攻擊期間受到影響的一臺(tái)服務(wù)器。在檢測(cè)到入侵活動(dòng)之后,調(diào)查員們開始記錄服務(wù)器上發(fā)生的一切事件,當(dāng)時(shí)攻擊者正利用其作為中繼服務(wù)器。調(diào)查員們對(duì)1998年到1999年間6個(gè)月中的攻擊事件進(jìn)行了全程追蹤,包括查看攻擊記錄、判斷攻擊手段。而其系統(tǒng)管理員多年來一直保存有取證鏡像,并與研究人員們分享了這部分信息。
格雷羅-薩德表示,他們的工作就像是挖出了一個(gè)時(shí)間膠囊。
俄20年前的網(wǎng)絡(luò)工具仍能對(duì)基礎(chǔ)設(shè)施發(fā)起復(fù)雜惡意攻擊-E安全
月光迷宮或?yàn)槎碚С中秃诳徒M織
雖然月光迷宮與近期Turla惡意活動(dòng)間的關(guān)聯(lián)已經(jīng)相當(dāng)確鑿,不過研究人員并沒有斷言稱攻擊者為同一個(gè)組織。卡巴斯基實(shí)驗(yàn)室并沒有參與歸因工作,但就此發(fā)表了一些有趣的論斷。
與卡巴斯基實(shí)驗(yàn)室合作的國(guó)王大學(xué)研究員托馬斯·里德表示,F(xiàn)BI曾經(jīng)于上世紀(jì)九十年代對(duì)俄羅斯方面進(jìn)行調(diào)查,且相關(guān)調(diào)查人員認(rèn)定月光迷宮屬于俄羅斯政府授意下的攻擊產(chǎn)物。
研究人員們還將繼續(xù)深入挖掘,從而尋找更多能夠?qū)⒃鹿饷詫m與Turla聯(lián)系起來的技術(shù)性證據(jù)。