只要仍然有效,攻击者们显然更乐于复用既有代码及工具,并且屡试不爽。目前,这一传统已再次被证实。
研究人员发现,并且有证据表明现代Windows PC攻击工具中的部分代码与20年前针对Solaris的入侵方案存在共通之处。这意味着某网络间谍组织仍能够成功利用20年前就已出现的网络工具对基础设施发起恶意活动。
俄黑客组织Turla或与上世纪“月光迷宫”网络间谍组织相关
上世纪九十年代中期至末期,美国军事与政府网络、大学乃至其它各类研究机构曾遭遇过一波名为“月光迷宫(Moonlight Maze)”的攻击浪潮。自FBI与美国国防部于1999年公布相关调查结果之后,月光迷宫随即消失。但安全相关人士表示其背后的网络间谍组织从未彻底灭亡。
Turla(某俄罗斯攻击组织,亦被称为恶毒熊、Uroburos以及Snake)可能正是当年轰动一时的月光迷宫幕后黑手,但直到最近这一猜测才逐步转化为结论。
目前,卡巴斯基实验室与伦敦国王学院的研究人员们已经找到了将Turla与月光迷宫加以关联的技术性证据。
在对Penguin Turla(一款由Turla开发的Linux后门工具)以及月光迷宫攻击当中所使用的开源数据提取工具后门进行对比分析之后,研究人员们得出了令人信服的结论。
俄20年前的网络工具仍能对基础设施发起复杂恶意攻击-E安全
距离近20年两者均使用开源LOKI2程序
卡巴斯基实验室研究员胡安·安德烈斯·格雷罗·萨德解释称,二者皆使用了曾于1996年发表在《Phrack》杂志上的开源LOKI2程序。月光迷宫后门并未被直接部署在现代攻击活动当中,但事实上Penguin Turla确实使用了同样的代码片段。
格雷罗·萨德指出,“这是一款有趣的工具,而且其明显与月光迷宫出于同一批攻击者之后”。他同时解释称,研究人员对43个月光迷宫二进制文件进行了研究,并从其中发现了9个基于LOKI2的后门实例。
从表面上看,月光迷宫与Turla之间似乎并无共通之处。月光迷宫主要针对Sun Solaris系统,并利用受感染设备立足同一网络搜索更多潜在受害者。嗅探器组件会收集受害设备上的全部活动,并为攻击者创建一份完整的恶意活动日志记录。卡巴斯基实验室的研究人员们在一篇博文中指出,这相当于攻击者自行创造了一份完备的数字足迹。
相比之下,Turla则将矛头指向Windows设备,且拥有现代恶意工具中的多种常见功能。其中最明显的是能够劫持未加密卫星传输链路,并以静默方式渗透至受害者网络中窃取数据。然而,Penguin Turla亦常被用于通过*nix服务器从入侵网络内提取数据,从而实现二次攻击。
20年的“老姜”黑客工具仍然很辣 令人担忧
各类网络间谍活动与高复杂度攻击行为并非总是使用最新代码。攻击组织往往会对其武器储备库中的代码进行回收与复用,并通过操作演进添加新的功能。
研究人员们得以通过后门代码成功将其与LOKI2(由发布于1999年的Linux 2.2.0及2.2.5版本编译而成)关联起来,另外其中的二进制libpcap与OpenSSL则来自2000年初。这批代码目前仍在使用,卡巴斯基实验室发现就在上个月Penguin Turla还曾利用其对德国目标开展攻击。
格雷罗-萨德表示,这款已经拥有20年历史的黑客工具仍然能够正常起效,并成功对现代操作系统与网络施以打击,这无疑“令人恐惧”。月光迷宫攻击者无需利用任何复杂的手段以绕过反病毒方案或者安全防御体系。更令人不安的是,旧有代码通过接入旧有库重新在Penguin Turla中再次复活,并仍可用于攻击现代计算设备。
将这两轮攻击行为关联的另一证据来自月光迷宫攻击期间受到影响的一台服务器。在检测到入侵活动之后,调查员们开始记录服务器上发生的一切事件,当时攻击者正利用其作为中继服务器。调查员们对1998年到1999年间6个月中的攻击事件进行了全程追踪,包括查看攻击记录、判断攻击手段。而其系统管理员多年来一直保存有取证镜像,并与研究人员们分享了这部分信息。
格雷罗-萨德表示,他们的工作就像是挖出了一个时间胶囊。
俄20年前的网络工具仍能对基础设施发起复杂恶意攻击-E安全
月光迷宫或为俄政府支持型黑客组织
虽然月光迷宫与近期Turla恶意活动间的关联已经相当确凿,不过研究人员并没有断言称攻击者为同一个组织。卡巴斯基实验室并没有参与归因工作,但就此发表了一些有趣的论断。
与卡巴斯基实验室合作的国王大学研究员托马斯·里德表示,FBI曾经于上世纪九十年代对俄罗斯方面进行调查,且相关调查人员认定月光迷宫属于俄罗斯政府授意下的攻击产物。
研究人员们还将继续深入挖掘,从而寻找更多能够将月光迷宫与Turla联系起来的技术性证据。
本文转自d1net(转载)
