电影指环王中,失去肉身的魔王索伦幻化成了一只魔眼,与魔戒相通,拥有着可以毁灭一切的力量。
2015年9月,卡巴斯基实验室在其反针对性攻击平台标记出了某个政府客户网络中的异常流量特征,经过分析后发现,有一个可疑的执行文件正在加载主机服务器中的内存。这个执行文件像是Windows密码过滤器一样,可以获得所有明文管理密码在内的所有敏感数据。
2016年8月中旬,赛门铁克和卡巴斯基实验室相继发布报告称,追踪到一个名为索伦之眼的网络间谍平台。经过对比分析,360的追日团队也确认,与其独立截获的境外APT组织APT-C-16为同一组织。该组织专门针对俄罗斯、中国、比利时、伊朗、瑞典等国家发动高级持续性攻击,即APT。
截止报告发出前,360威胁情报中心共发现国内有数十个被影响的单位机构,涉及多个行业,其中科研教育、军事和基础设施领域,水利、海洋等行业最多。
据卡巴斯基实验室介绍,这个黑客组织自2010年起就开始活动,原名为“行客”(Strider)。之所以把他们命名为索伦之眼(ProjectSauron)是因在分析追踪的文件时,发现代码中带有Sauron字符。进一步分析后发现,索伦之眼并不仅仅是一个黑客组织,而是一个拥有精密技术的顶级间谍模型平台。
索伦之眼的主要攻击任务就是获取加密的通讯信息。攻击者使用一种整合了大量不同工具和技术的高级模块化的网络间谍平台,并可以让长期从事间谍活动的黑客随心所欲的利用上面的工具。平台上使用的攻击策略主要有以下特点:
在进攻时针对每个特定的目标定制植入程序和基础设施;
从不循环使用攻击工具;
通常都是对目标网络进行秘密和长期的间谍行动。
从卡巴斯基实验室的报告中,可以发现索伦之眼行动所使用的攻击工具和技巧如下:
独特的数字足迹:核心植入程序具有不同的文件名和体积,并且针对每个目标特别定制——这使得其很难被检测,因为某个目标感染痕迹对其他目标来说几乎没有任何价值。
运行于内存中:核心植入程序会利用合法软件的升级脚本,以后门程序的形式在内存中运行,接收攻击者的指令,下载最新模块或执行命令。
偏好加密通讯:索伦之眼会积极搜索非常罕见的定制网络加密软件的相关信息。这种服务器端/客户端软件被很多目标企业广泛用于安全通讯、语言通讯、电子邮件传输和文档交换。攻击者对于加密软件组件、密匙和配置文件颇感兴趣,此外还会收集在节点之间中继加密信息的服务器的地理位置。
基于脚本的灵活性:索伦之眼部署了一系列由高水准LUA脚本精心编排的低水准工具。在恶意软件中使用LUA组件,这种组件非常罕见,之前仅在Flame和Animal Farm攻击中出现过。
绕过隔离网闸:索伦之眼使用特别定制的优盘绕过隔离网闸。这些优盘包含隐藏空间,用户保存和隐藏窃取到的数据。
多种数据窃取机制:索伦之眼部署了多个窃取数据的途径,包括合法渠道如电子邮件和DNS,将从受害者窃取到的信息伪装成日常通讯流量。
索伦之眼幕后的黑客团伙都是经验丰富的传统攻击者,并且曾花费过大量精力学习其他顶级黑客组织的攻击技术,包括震网病毒的姊妹病毒(Duqu)、火焰病毒(Flame)、方程式组织(Equation)和高级间谍软件Regin。这些黑客团伙在吸收了这些攻击中最具创新的技术的同时,也吸取其被发现的教训,不断改善攻击策略,有意删除容易被监测的组件,确保其不易被发现。
卡巴斯基实验室的安全专家介绍说,通常这种APT攻击都具有十分明确的攻击目的,即针对一个特定区域或某个特定的行业提取信息,在进行攻击时,通常会导致一个区域内的几个国家被感染,或是同行业的企业被感染。但索伦之眼似乎只是针对一些特定的国家进行攻击活动,并专注于收集这几个国家中任何企业、政府部门或个人的有重要价值的情报。
截止至报告发出前,卡巴斯基实验室共发现了30多个已经被这个恶意软件感染的网站,其中包括一家中国航空公司、比利时的一处大使馆以及瑞典一家企业。根据卡巴斯基实验室的分析,受攻击组织通常在提供政府服务中扮演重要角色,这些组织包括:
除了这些政府机构与企业,他们还在公用网络中各种开后门,针对个人进行键盘监听、窃取用户凭证或密码等个人隐私信息。
经过取证分析后,卡巴斯基实验室得出结论:
这种攻击行动的成本、复杂性、持续性以及以窃取同政府有关的敏感和机密信息为最终目标等特征都表明,索伦之眼得到了政府的支持,或者政府有所参与。
卡巴斯基实验室首席安全研究员 Vitaly Kamluk说,现在有很多依靠低成本现成工具的针对性攻击,而索伦之眼则不同,这种攻击行动主要依靠自制的受信任的工具以及定制的脚本代码。且只使用控制服务器、加密密匙等独特的指标,或借鉴其他威胁组织的领先技术。这种攻击手法很新颖。
Vitaly Kamluk表示,要抵御这种威胁的唯一手段,就是部署多层级的安全防护,通过大量的传感器监测组织流程中出现的一场,同时借助于威胁情报服务和取证分析查找固定的攻击模式,尽管这种攻击不会留下明显的攻击模式特征。
