开发者社区> boxti> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

俄20年前的网络工具仍能对基础设施发起网络攻击

简介:
+关注继续查看

只要仍然有效,攻击者们显然更乐于复用既有代码及工具,并且屡试不爽。目前,这一传统已再次被证实。

研究人员发现,并且有证据表明现代Windows PC攻击工具中的部分代码与20年前针对Solaris的入侵方案存在共通之处。这意味着某网络间谍组织仍能够成功利用20年前就已出现的网络工具对基础设施发起恶意活动。

俄黑客组织Turla或与上世纪“月光迷宫”网络间谍组织相关

上世纪九十年代中期至末期,美国军事与政府网络、大学乃至其它各类研究机构曾遭遇过一波名为“月光迷宫(Moonlight Maze)”的攻击浪潮。自FBI与美国国防部于1999年公布相关调查结果之后,月光迷宫随即消失。但安全相关人士表示其背后的网络间谍组织从未彻底灭亡。

Turla(某俄罗斯攻击组织,亦被称为恶毒熊、Uroburos以及Snake)可能正是当年轰动一时的月光迷宫幕后黑手,但直到最近这一猜测才逐步转化为结论。

目前,卡巴斯基实验室与伦敦国王学院的研究人员们已经找到了将Turla与月光迷宫加以关联的技术性证据。

在对Penguin Turla(一款由Turla开发的Linux后门工具)以及月光迷宫攻击当中所使用的开源数据提取工具后门进行对比分析之后,研究人员们得出了令人信服的结论。

俄20年前的网络工具仍能对基础设施发起复杂恶意攻击-E安全

距离近20年两者均使用开源LOKI2程序

卡巴斯基实验室研究员胡安·安德烈斯·格雷罗·萨德解释称,二者皆使用了曾于1996年发表在《Phrack》杂志上的开源LOKI2程序。月光迷宫后门并未被直接部署在现代攻击活动当中,但事实上Penguin Turla确实使用了同样的代码片段。

格雷罗·萨德指出,“这是一款有趣的工具,而且其明显与月光迷宫出于同一批攻击者之后”。他同时解释称,研究人员对43个月光迷宫二进制文件进行了研究,并从其中发现了9个基于LOKI2的后门实例。

从表面上看,月光迷宫与Turla之间似乎并无共通之处。月光迷宫主要针对Sun Solaris系统,并利用受感染设备立足同一网络搜索更多潜在受害者。嗅探器组件会收集受害设备上的全部活动,并为攻击者创建一份完整的恶意活动日志记录。卡巴斯基实验室的研究人员们在一篇博文中指出,这相当于攻击者自行创造了一份完备的数字足迹。

相比之下,Turla则将矛头指向Windows设备,且拥有现代恶意工具中的多种常见功能。其中最明显的是能够劫持未加密卫星传输链路,并以静默方式渗透至受害者网络中窃取数据。然而,Penguin Turla亦常被用于通过*nix服务器从入侵网络内提取数据,从而实现二次攻击。

20年的“老姜”黑客工具仍然很辣 令人担忧

各类网络间谍活动与高复杂度攻击行为并非总是使用最新代码。攻击组织往往会对其武器储备库中的代码进行回收与复用,并通过操作演进添加新的功能。

研究人员们得以通过后门代码成功将其与LOKI2(由发布于1999年的Linux 2.2.0及2.2.5版本编译而成)关联起来,另外其中的二进制libpcap与OpenSSL则来自2000年初。这批代码目前仍在使用,卡巴斯基实验室发现就在上个月Penguin Turla还曾利用其对德国目标开展攻击。

格雷罗-萨德表示,这款已经拥有20年历史的黑客工具仍然能够正常起效,并成功对现代操作系统与网络施以打击,这无疑“令人恐惧”。月光迷宫攻击者无需利用任何复杂的手段以绕过反病毒方案或者安全防御体系。更令人不安的是,旧有代码通过接入旧有库重新在Penguin Turla中再次复活,并仍可用于攻击现代计算设备。

将这两轮攻击行为关联的另一证据来自月光迷宫攻击期间受到影响的一台服务器。在检测到入侵活动之后,调查员们开始记录服务器上发生的一切事件,当时攻击者正利用其作为中继服务器。调查员们对1998年到1999年间6个月中的攻击事件进行了全程追踪,包括查看攻击记录、判断攻击手段。而其系统管理员多年来一直保存有取证镜像,并与研究人员们分享了这部分信息。

格雷罗-萨德表示,他们的工作就像是挖出了一个时间胶囊。

俄20年前的网络工具仍能对基础设施发起复杂恶意攻击-E安全

月光迷宫或为俄政府支持型黑客组织

虽然月光迷宫与近期Turla恶意活动间的关联已经相当确凿,不过研究人员并没有断言称攻击者为同一个组织。卡巴斯基实验室并没有参与归因工作,但就此发表了一些有趣的论断。

与卡巴斯基实验室合作的国王大学研究员托马斯·里德表示,FBI曾经于上世纪九十年代对俄罗斯方面进行调查,且相关调查人员认定月光迷宫属于俄罗斯政府授意下的攻击产物。

研究人员们还将继续深入挖掘,从而寻找更多能够将月光迷宫与Turla联系起来的技术性证据。

本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
【JavaWeb】讲解:JSTL标签以及MVC设计模式
本期主要介绍讲解:JSTL标签以及MVC设计模式
15 0
纵向排列文字以及禁止文字选中
内容包括demo代码,应用和定义,以及参考文献,本文主要内容是本人学习过程中遇到css的零碎知识点1(就是以前自己不知道的),我都记下来了,需要的朋友可以过来参考下,喜欢的可以点个赞,希望对大家有所帮助。 writing-mode: tb-rl; (纵向排列文字)应用: 说明:设置或检索对象的内容块固有的书写方向。西方语言一般都是 lr-tb 的书写方式,但是亚洲语言 lr-tb | tb-rl 的书写方式都有。作为IE的私有属性之一,IE5.5率先实现了 writing-mode ,后期被w3c采纳成标准属性;此属性效果不能被累加使用。例如,父对象的此属性值
41 0
慧算账林云婷:传统记账模式将被颠覆
本文讲的是慧算账林云婷:传统记账模式将被颠覆,单一的传统记账模式令人生厌 同大多数人一样,刚刚毕业的时候,林云婷也是选择找一份稳定的工作。因为自己是学会计的,专业性较强,所以选择从事相关工作。但觉得每月重复性的工作很枯燥,于是进入审计行业。
1905 0
+关注
boxti
12535
文章
问答
文章排行榜
最热
最新
相关电子书
更多
打击网络黑产浅见分享
立即下载
服务器的第一道防线-美联集团堡垒的前世今生
立即下载
观星:每个威胁都不是独立存在的
立即下载