中國(guó)福建網(wǎng)

當(dāng)前位置:中國(guó)福建網(wǎng) > 國(guó)內(nèi) > 正文

360捕獲持續(xù)8年針對(duì)我國(guó)的網(wǎng)絡(luò)間諜組織

作者: 編輯 來(lái)源:互聯(lián)網(wǎng) 發(fā)布時(shí)間:2018-07-09

┊文章閱讀:

近日,360追日?qǐng)F(tuán)隊(duì)(Helios Team)、360安全監(jiān)測(cè)與響應(yīng)中心與360威脅情報(bào)中心發(fā)布《藍(lán)寶菇(APT-C-12)核危機(jī)行動(dòng)揭露》報(bào)告,首次披露了其捕獲的持續(xù)8年攻擊中國(guó)大陸地區(qū)的網(wǎng)絡(luò)間諜組織——藍(lán)寶菇。

據(jù)報(bào)告透露,從2011年開(kāi)始至今,高級(jí)攻擊組織藍(lán)寶菇(APT-C-12)對(duì)我國(guó)政府、軍工、科研、金融等重點(diǎn)單位和部門(mén)進(jìn)行了持續(xù)的網(wǎng)絡(luò)間諜活動(dòng)。 核工業(yè)和科研等相關(guān)行業(yè)信息是該組織的重點(diǎn)竊取目標(biāo)。

攻擊持續(xù)八年

據(jù)360追日?qǐng)F(tuán)隊(duì)介紹,該團(tuán)隊(duì)捕獲的首個(gè)藍(lán)寶菇組織專(zhuān)用木馬出現(xiàn)在2011年3月左右。截止到目前,360追日?qǐng)F(tuán)隊(duì)已捕獲該組織惡意代碼共達(dá)670余個(gè),其中包括60多個(gè)專(zhuān)門(mén)用于橫向移動(dòng)的惡意插件;此外還發(fā)現(xiàn)了與該組織相關(guān)的40多個(gè)C&C域名和IP地址。

由于該網(wǎng)絡(luò)間諜組織的相關(guān)惡意代碼中出現(xiàn)特有的字符串(Poison Ivy密碼是:NuclearCrisis),結(jié)合該組織的攻擊目標(biāo)特點(diǎn),360威脅情報(bào)中心將該組織的一系列攻擊行動(dòng)命名為核危機(jī)行動(dòng)(Operation NuclearCrisis)。聯(lián)想到核武器爆炸時(shí)的蘑菇云,360威脅情報(bào)中心結(jié)合該組織的其他特點(diǎn),以及對(duì)APT組織的命名規(guī)則,將該組織名為藍(lán)寶菇。

截止2018年5月,360追日?qǐng)F(tuán)隊(duì)已經(jīng)監(jiān)測(cè)到近30個(gè)核危機(jī)行動(dòng)攻擊的境內(nèi)目標(biāo)。其中,教育科研機(jī)構(gòu)占比最高,達(dá)59.1%,其次是政府機(jī)構(gòu),占比為18.2%,國(guó)防機(jī)構(gòu)排第三,占9.1%。其他還有事業(yè)單位、金融機(jī)構(gòu)制造業(yè)等占比為4.5%。

就地域分布來(lái)看,北京地區(qū)是核危機(jī)行動(dòng)攻擊的重點(diǎn)區(qū)域,其次是上海、海南等地區(qū)。

從攻擊目標(biāo)和攻擊的區(qū)域分布來(lái)看,藍(lán)寶菇的目標(biāo)是核工業(yè)和科研等國(guó)防相關(guān)信息,這在被捕獲的APT組織中,是比較突出的一點(diǎn)。

攻擊手段更加精細(xì)

高級(jí)攻擊組織一般都會(huì)采用魚(yú)叉郵件的攻擊方式。藍(lán)寶菇的初始攻擊也主要采用魚(yú)叉郵件攜帶二進(jìn)制可執(zhí)行文件的攻擊方法:即攻擊者向受害者發(fā)送仿冒官方郵件,誘導(dǎo)受害者點(diǎn)擊郵件所攜帶的惡意附件。

360威脅情報(bào)專(zhuān)家透露,藍(lán)寶菇組織在文件偽裝方面確實(shí)下足了功夫,所采用的魚(yú)叉郵件更加逼真,受害者往往被安裝后門(mén)卻毫不覺(jué)察。

以最為頻繁使用的“通信錄”誘餌文件為例:攻擊者使用了RLO控制符,使字符的顯示順序變成從右至左,這樣可以隱藏文件的真實(shí)擴(kuò)展名。除了對(duì)誘餌文件的文件名進(jìn)行精心偽裝外,攻擊者對(duì)誘餌文件的內(nèi)容也進(jìn)行了精心的設(shè)計(jì)。

受害者打開(kāi)的Word文檔的內(nèi)容確實(shí)為相關(guān)機(jī)構(gòu)工作人員或相關(guān)培訓(xùn)參與者的詳細(xì)通信錄信息(如截圖所示)。這使得被攻擊者更加難以識(shí)破其中的攻擊行為。

考慮到被攻擊目標(biāo)本身所處機(jī)構(gòu)的敏感性,安全分析人員認(rèn)為,這說(shuō)明攻擊者在發(fā)起攻擊的過(guò)程中,已經(jīng)對(duì)攻擊的目標(biāo)機(jī)構(gòu)或個(gè)人有了比較充分的了解。

此外,該組織使用的專(zhuān)用木馬還采用了一定程度的對(duì)抗技術(shù),比如對(duì)抗殺毒軟件和對(duì)抗輕量級(jí)虛擬機(jī)的技術(shù),降低被發(fā)現(xiàn)的概率。

據(jù)了解,自2015年5月,360截獲并披露針對(duì)我國(guó)的首個(gè)APT組織海蓮花以來(lái),截至2018年6月底,360威脅情報(bào)中心已累計(jì)截獲38個(gè)針對(duì)中國(guó)的APT組織,有力地維護(hù)了國(guó)家與企業(yè)的信息安全。

藍(lán)寶菇網(wǎng)絡(luò)間諜活動(dòng)主要時(shí)間點(diǎn)

1) 2011年3月,首次發(fā)現(xiàn)與該組織相關(guān)的木馬,針對(duì)政府相關(guān)機(jī)構(gòu)進(jìn)行攻擊。

2) 2011年11月,對(duì)某核工業(yè)研究機(jī)構(gòu)進(jìn)行攻擊。

3) 2012年1月,對(duì)某大型科研機(jī)構(gòu)進(jìn)行攻擊。

4) 2012年3月,對(duì)某軍事機(jī)構(gòu)進(jìn)行攻擊。

5) 2012年6月,對(duì)國(guó)內(nèi)多所頂尖大學(xué)進(jìn)行攻擊。

6) 2013年6月,對(duì)某中央直屬機(jī)構(gòu)進(jìn)行攻擊,同時(shí)開(kāi)始使用新類(lèi)型的RAT。

7) 2014年8月,發(fā)現(xiàn)該組織使用5種以上的橫向移動(dòng)惡意代碼針對(duì)重點(diǎn)目標(biāo)機(jī)構(gòu)進(jìn)行大量橫向移動(dòng)攻擊。

8) 2014年12月,發(fā)現(xiàn)新的RAT,我們將其命名為Bfnet,該后門(mén)具備竊取指定擴(kuò)展名文檔等重要功能。

9) 2015年9月,針對(duì)多個(gè)國(guó)家的華僑辦事機(jī)構(gòu)進(jìn)行攻擊。

10) 2018年4月,針對(duì)國(guó)內(nèi)某重要敏感金融機(jī)構(gòu)發(fā)動(dòng)魚(yú)叉郵件攻擊。

  • 新浪新聞
  • 百度搜索
  • 搜狗搜索
  • 京東商城
  • 企業(yè)慧聰
  • 新浪科技
  • 科技訊
  • 鵪鶉蛋價(jià)格
  • 唯美圖片