Thomas Rid经过大量的调查分析,在近期的安全分析师峰会(SAS)报告中指出:Moonlight Maze(月光迷宫)网络间谍们已经演变成了目前的Turla。
网络间谍活动月光迷宫已演变成Turla-E安全
1996年10月7日,美国科罗拉多矿业大学遭遇网络入侵。入侵者利用设备上安装的SUN OS4操作系统中的漏洞袭击了一台位于该校布朗大楼(Brown Building)内、昵称为“Baby_Doe”的电脑。他们通过这台电脑辗转进入美国国家航空航天局、美国海军和空军总部及遍及全美的高校和军事机构的其他电脑。
此项间谍行动持续了数年,搜集了大量敏感信息。后续调查发现,在此期间搜集的数据如打印成稿,其堆积的高度可堪比华盛顿纪念碑。调查者还注意到,大量的入侵行动发生在夜间。基于这一事实及入侵者袭击网络的交错复杂性,此次事件得名“月光迷宫”。随着调查的继续深入,入侵者渐出水面:俄罗斯特工。
严格意义上说,“月光迷宫”行动已停止。但此次间谍活动的代号蜂拥出现在杂志封面,甚至调查者所穿的T-shirt上。但这个代号已经成为了针对美国境内大量目标的俄罗斯网络间谍行动的代表。
年度卡巴斯基实验室在会议期间, Rid、Costin Raiu 和 Juan Andres Guerrero-Saade 提出了更多的证据,证明明确讲俄语的 apt,熟练的通过卫星链路劫持、政府网站水坑攻击、隐蔽后门、 rootkits,等手段窃取敏感西方目标机密。而上述一切似乎与 Agent.BTZ有着密不可分的联系。
网络间谍活动月光迷宫已演变成Turla-E安全
Agent.BTZ是Virus Bulletin 2014年由 Kurt Baumgartner发现的样本,该样本使用了卫星IP劫持技术,而这与后来Turla升级版使用的技术极为相似。
早期的月光迷宫针对诸如 Sun Solaris的UNIX 系统,而今天的 Turla APT目标则是Windows ,这么大的差距间是如何被关联起来的?
2014 年卡巴斯基宣布发现了 Penquin Turla(第一代),当时它利用的是开放源码 LOKI2 后门。LOKI2 是Alhambra 和 daemon9 在90年代后期于Phrack (杂志)发布的。(Penquin仍然在西方盛行,最新的版本1个月前在德国某系统中被发现)
Guerrero-Saade称:目前还没有看到任何其它攻击者利用该工具,这是月光迷宫攻击者的最爱~!在卡巴的45个月光迷宫的样本中9个利用了该后门。
他同时指出:可怕之处在于,20多“岁”的恶意软件在重新包装后仍然有效。编写于 1999 年,而链接的二进制文件,例如 Linux 2.2.0 和 2.2.5 libpcap 版本 ,21 世纪初的OpenSSL 从。从 2011年到上个月针对德国一个目标中仍然被发现了。
有趣的是侦察背后的故事:
谁有多年前被月光迷宫破坏的 Solaris 服务器呢?来自英国的管理员David Hedges帮了大忙。他与伦敦警察、FBI合作,保存了服务器的键盘记录和二进制文件移动记录,现在被称为 HRTest。
网络间谍活动月光迷宫已演变成Turla-E安全
Thomas Rid, David Hedges, Daniel Moore, and Juan Andres Guerrero-Saade
研究人员找到Hedges时,他已经是半退休状态了。但Hedges的服务器仍然运行,他共享了访问日志,以及 43个月光迷宫攻击中的二进制文件和一个工具包。(这个管理员 太 牛 了 吧~!)
研究人员称,下一步会把重点放在一个代号为风暴云(Storm Cloud)的计划中。通过超越“历史价值”的理解,审视恶意软件,发现“蛀虫”。
本文转自d1net(转载)
