APT

27 文章

Regin APT攻击-有史以来技术最为成熟的网络攻击活动

近期,几乎所有从事跟踪高级持续性威胁活动的安全机构都无一例外地在谈论一种全新的高成熟度网络攻击平台-“Regin”(读音:reɪ*ɡən –与美国前总统里根名字的读音相似)。尽管我们无法将矛头直接指向某个特定国家并对次大加指责,但毫无疑问”Regin”被普遍认为是一个拥有雄厚财力的民族国家的”黑客工具”。 就在上周末赛门铁克发布了首个版本的有关该网络攻击活动的研究报告后,其它公司的大量相关报告接踵而来,在最初的研究结果基础上加入了更多的新内容,这似乎表明许多个人和相关机构将开始对”Regin”进行建档研究。不止一家安全公司和一名以上的研究人员–包括卡巴斯基实验室的全球研究和分析团队–将它称为是有史以来技术最为成熟的网络攻击活动。 Highly-complex malware has secretly spied on computers for years, say researchers http://t.co/ip7hkaDBEg pic.twitter.com/TnHhxZS0C4 — The Verge (@verge) November 23, 2014 据卡巴斯基实验室研究报告显示,Regin APT攻击活动将电信运营商、政府机构、多国政治团体、金融研究机构以及从事高级数学和密码破解工作的个人作为其攻击目标。这些网络攻击者似乎对收集情报进而进行其他类型的攻击最为感兴趣。尽管大量所收集的情报包括了对电子邮件和文档的暗中监视,但该网络攻击小组似乎还将目标不断锁定在电信运营商以及GSM(全球移动通信系统)提供商,将前者成为攻击目标并无不寻常之处,但将后者作为攻击目标就有些让人感到奇怪了。 GSM全名为”全球移动通信系统”。是移动手机之间蜂窝通信的标准。如果我告诉你GSM是第二代(2G)移动通信技术(3G和4G网络的前一代产品)的话,你们一定会恍然大悟。然而据报道,GSM是大多数电信运营商所用移动网络的默认标准,供占全球移动通信市场90%份额的219个国家和地区使用。 这些网络攻击者通过访问哪些电话是由哪一部特定手机拨出的信息,从而将这些电话重新传入其它的手机、激活临近手机以及实施其它攻击活动。 “该网络攻击小组具有渗透和监控GSM网络的能力或许是这一系列网络攻击活动中最不寻常和最有趣的部分。”卡巴斯基实验室全球研究和分析团队在昨日所发布的报告中说到。”在当今世界,我们太过依赖于移动手机网络所采用的陈旧通信协议,同时针对终端用户几乎没有任何安全防范措施。尽管所有GSM网络都拥有自己的嵌入机制,允许执法机构追踪犯罪嫌疑人,这也同时也导致这一功能为不法分子获得并滥用于实施针对移动用户的其它类型攻击。” 卡巴斯基实验室表示,这些网络攻击者通过从内部GSM基站控制器窃取属于某一家大型电信运营商的登录凭证,从而能够在该特定网络访问GSM手机。我来自于Threatpost的同事Mike Mimoso注意到当这些网络攻击者沿着移动网络移动、分配资源以及移动数据传输时,就能通过基站控制器对电话进行管理。

DarkHotel:亚洲豪华酒店内的网络间谍活动

“网络间谍”是21世纪出现的又一种”网络攻击武器”。甚至任何一款看似毫无危害的移动应用都能够通过粗心大意的用户不经意间地泄漏数据,盗取相当数量的个人隐私信息。这些全方位的监测活动通常将大型企业和政府机关作为特定攻击目标。 就在今年秋天,卡巴斯基实验室最新发现了一种被冠以”Darkhotel”称号的间谍网络,竟然在许多亚洲酒店的网络内存在了长达7年的时间。此外,一些聪明的专业网络间谍门早已开发出了一款包含了各种用来入侵受害者计算机方法的全面”工具包”,以入侵受害者的计算机。 美国联邦调查局(FBI)在2012年最先提到了将酒店内住客作为攻击目标的网络犯罪行为。然而,其实早在2007年的时候,被用于Darkhotel间谍活动的恶意软件(即,Tapaoux)就已经在亚洲各大酒店出现了。通过对用来掌控该网络间谍活动的C&C服务器日志研究后,安全研究人员发现其中的连接最早可以追溯到2009年1月1日。综上所述,我们可以得出这样的结论:此类网络间谍活动已存在了相当长的一段时间。 # Darkhotel# 间谍活动似乎已存在了数年之久。 入侵受害者个人电脑的主要手段是通过在许多亚洲豪华酒店的Wi-Fi网络。这些网络犯罪分子主要利用存在于Adobe Flash和知名供应商的其它流行产品中的零日漏洞实施攻击。此类漏洞难以察觉,且事实证明这些间谍活动背后有着雄厚的资金支持,如此才能买得起如此昂贵的”网络攻击武器”,或者也有可能参与这些网络间谍活动的代理人拥有极其深厚的专业背景。也有可能两种情况同时存在。 上述所介绍的植入间谍软件方法是使用最频繁的一种,但并不是唯一,从这些网络犯罪分子的攻击手段来看,他们很可能由酒店本身所雇佣。此外,还可选择通过torrent客户端散播木马病毒,比如嵌入到中文版的成人漫画中。 因此,这些网络间谍还会利用有针对性的网络钓鱼,以及向政府雇员和非营利组织发送受感染的电邮等方式展开攻击。 网络犯罪分子采用精密高端的键盘记录器。间谍软件在流行浏览器内部署集成组件以窃取密码。 除了利用零日漏洞以外,许多事实证明这些网络犯罪分子拥有高深莫测的洞察能力。他们甚至能够成功伪造安全凭证用于他们的恶意软件中。为了暗中监视受害者的通信渠道,网络犯罪分子采用了精密高端的键盘记录器。间谍软件在流行浏览器内部署集成组件以窃取密码。 令人惊讶的是,这些犯罪分子行事极其小心,并设计了许多方法以防范其恶意软件被侦测出来。首先,他们确保植入的病毒有相当长的一段’潜伏期’:木马病毒在入侵系统前,需要在C&C服务器内潜伏长达180天的时间。其次,一旦系统的语言改为韩语后,间谍程序即会自动销毁。 这些网络犯罪分子主要活动于日本、中国及台湾地区。卡巴斯基实验室能够侦测到在其它国家实施的网络攻击,就算犯罪分子离受害者所在国家距离遥远也能被侦测出。 卡巴斯基实验室首席安全研究员Kurt Baumgartner对Darkhotel评论道:”在过去的几年中,一款被称为”Darkhotel”的强大间谍软件针对众多名人成功实施一系列的网络攻击,所使用手段和技术水平不是一般的网络犯罪行为所能匹敌。这一威胁拥有自动运行功能以及数字和解密分析攻击能力,而所具有的其他优势足以随意利用受信任的商业网络,并将特定受害者类别作为攻击目标,其背后有着极强的商业策略目的。 The #Darkhotel espionage campaign: A story of unusual hospitality https://t.co/iXQykGmjwE — Eugene Kaspersky (@e_kaspersky)

卡巴斯基新闻播客:2014年8月

本月新闻综述:8月,全球顶级安全会议Black Hat和DEF CON大会在万众瞩目下隆重开幕;更加高级的持续性威胁在中国和世界其他地方出现;恶意软件正在利用webmail通信;索尼PS游戏机网络发生令人诡异的短暂中断事件。来自Threatpost和Brian Donohue和Chris Brook将在2014年8月版的卡巴斯基每日播客上与我们一道回顾本月所发生的精彩新闻事件。 补充阅读材料 随着Black Hat安全大会逐渐从仅针对企业层面的会议转变为与消费者息息相关的会议,因此您能在卡巴斯基每日新闻中读到更多与此有关的内容。如需了解相关背景,可阅读新闻事件回顾。Threatpost的编辑Dennis Fisher和Mike Mimoso以及我本人也记录了一些有关Black Hat安全大会前两日播客新闻的主要内容,将带您一同更深入了解本年度”安全夏令营”的详细情况。 在”斯诺登棱镜门事件”发生后,这几个月甚至一整年似乎正在形成一种趋势:那就是越来越多的互联网得到了加密。就在本月,这一趋势再次应验,雅虎承诺将在今年年底对所有邮件端对端进行加密的同时,Google也宣布将给予那些使用安全SSL连接的网站优先搜索权。本月放出了大量补丁,但其中最引人关注的要数微软修补fiasco的补丁。微软本次所发布的标准”周二补丁”对大量用户机器造成了破坏,不得不最终在本周早些时候又发布了一份最新通知。正如我在播客中提到但并未详细说明,Google发布了针对Chrome浏览器的两项更新,你可以在这里和这里读到。此外,苹果在本月也同样发布了一些补丁。 您可以在Threatpost更深入地了解本月有关APT(高级持续威胁)的调查结果,其中包括Turla间谍软件以及非法入侵Community Health Systems的中国黑客小组。除了有关Community Health Systems黑客入侵的文章以外,我们还在卡巴斯基每日新闻上对其破坏性以及这一事件对我们的影响进行了分析。 在恶意软件最前沿,你可以读到所有关于新恶意软件如何利用雅虎邮箱作为通信中心以及一种全新的主要基于网页的流氓反病恶意软件的新闻。您可查看Chris Brook有关Verizon坚信可使用二维码作为身份认证机制的报道,此外还为您带来了有关上周因DDoS攻击造成PS游戏机网络短暂中断事件背后的真相。 播客:@TheBrianDonohue和@BrokenFuses对2014年8月的安全与隐私新闻进行了回顾

Community Health Systems数据外泄事件启示

最近针对Community Health Systems的一起数据外泄事件充分暴露了联网医疗设备所面临的实实在在的现实风险,事件据称是中国黑客所为,造成约450万病人的敏感医疗信息被窃。 还记得Heartbleed漏洞吗? Heartbleed的漏洞存在于OpenSSL,出现于今年早些时候。这一漏洞曾一度对超过60%的互联网造成影响,并在理论上能让网络攻击者在客户端到服务器连接过程中窃取一定数量的信息。这可能是第一起发生在现实生活中并造成广泛影响的互联网事件:网络犯罪分子或国家行为者几乎利用了整个网络资源来谋取私利。尤其需要指出的,网络攻击者还开发出了一种漏洞利用程序,能让他们使用Heartbleed漏洞来窃取Community Health Systems网站的登录凭证。 哪些人因此而受到影响?这一切又是如何发生的? 这一事件中的450万名受害者都在过去5年里接受了Community Health Systems医生的医疗服务,不幸中的万幸,他们的医疗和支付信息并未因此而泄露;但最让人担心的是,他们的社会安全号(SSN)全部遭到泄露。除了社会安全号以外,一起被盗的还有病人的姓名、地址和出生日期,甚至还有受害人的雇主或担保人以及电话号码。 由于本次事件中的攻击者很可能是一些高级持续性威胁行为者,因此人们还抱有一丝侥幸。他们的目标很有可能并不是消费者的社会安全号。事实上,来自Crowdstrike和其他安全公司的专家们都表示这些攻击者可能只是在寻找与医疗系统相关的知识产权,使中国能够将其运用在对本国老龄化人口的照料上。 在本次 “APT 18″黑客小组(也叫做”Dynamite Panda”)的攻击行动中,最终以失败而告终。因为要处理数量如此庞大的敏感信息并不是一件容易的事情。 更大的问题 近年来医疗保健数据外泄情况时有发生,但有关方面依然没有尽快改进的打算。原因如下: 每当谈到医疗设备的安全问题时,人们总会异想天开,甚至有一些可怕的想法:比如,使用笔记本电脑入侵胰岛素泵和心脏起搏器,以达到伤害和谋杀病人的目的。但幸运的是,就近期我从Black Hat大会了解到的情况来说,所有患病需嵌入式和/或联网医疗设备治疗的病人被人用笔记本电脑杀害的可能性微乎其微。事实上,Rapid7医疗设备安全专家Jay Radcliffe表示所有联网医疗设备对于病人的疗效巨大,且几乎不会造成什么损伤。 似乎眼下这个问题对病人的影响更加全方位,且数量上呈现上升趋势。这些问题更多地与医生和医院,甚至医疗设备的存放、共享以及访问权限有关。Radcliffe在与我们的一次讨论会中指出,如果说联网医疗设备会对病人安全造成影响的话,那最大的可能是由于黑客入侵或意外事件导致医疗记录遭到篡改或更改,从而使病人得到错误的治疗。 近年来医疗保健数据外泄时有发生,但有关方面依然没有尽快改进的打算。 在本周早些时候,心脏病专家兼作家Sandeep Jauhar博士在NPR(美国国家公共广播)的《Fresh Air》节目中接受了Terry Gross的访谈,他表示美国医疗保健体系之所以落后于其他国家,大部分原因在于美国缺乏信息共享机制。因此,要改进美国医疗保健系统并同时遵守《平价医疗法》的话,还有很多工作需要做:将更多的医疗设备进行联网;医疗保健服务提供商之间进行更多沟通;更多远程访问数据;以及较有可能实现的,更多地共享敏感医疗信息。从他的话中透出了这样的意思:采用更加先进医疗保健体系的国家已经开始进行此类的数据共享,只是数据泄露问题依然存在。 这并不是说美国医疗保健体系毫无希望。《健康保险流通与责任法案》(HIPAA)的颁布旨在部分保护消费者医疗保健信息的安全与隐私。但问题是医院和医疗设备制造商都需遵守各自的相关规定,以符合《健康保险流通与责任法案》要求。尽管如此,数据外泄情况依然不可避免,因为没有一个安全计划是完美的。每个人-无论如何努力-都最终无法避免个人数据被窃的结果。 如果受到影响会有什么后果,怎样才知道自己是否受到了影响? Community

一周要闻:Black Hat与DEF CON大会预览

全球黑客和安全领域两个最重量级的会议:Black Hat和DEF CON大会将于下周在内达华州的拉斯维加斯举行。在本周新闻综述,我们将展望这两个会议的同时,对本周发生的新闻进行一番回顾。 黑客大会抢先预览 Black Hat与DEF CON安全大会将于下周召开,我们将首先展望这两个会议来开始我们的本周新闻综述: 卡巴斯基实验室安全专家Vitaly Kamluk的演讲是我们最为期待的,他将在大会上再次提及Absolute Computrace漏洞问题,在之前2月份举办的安全分析师峰会期间我们曾有写到过。 此外,安全研究员Joshua Drake也将展示他所建造的工具,这一工具足以彻底颠覆目前全球对安卓系统安全性的研究。从本质上说,这一工具集中了所有他能找到的各种安卓设备,且各自适合的操作系统稍有不同。他们认为只有通过这样的方式,安全研究员们才能对目前众多的安卓操作系统有一个更加全面的了解。来自Bluebox Security的Jeff Forristal将作另一场有关安卓系统的有趣演讲,他的研究显示数百万台的安卓设备内存在一种关键漏洞,可使恶意应用伪装成受信任的应用,让攻击者能够将恶意代码植入合法应用,甚至直接控制受感染的设备。 而在今年的DEF CON大会上,主办方将举办一场以黑客入侵路由器为主题的比赛。选手们需要入侵SOHO Wi-Fi路由器,比赛规则公布在SOHOpelessly遭到入侵的网站上。参赛选手必须在DEF CON大会举办期间说明并展示他们如何利用零日漏洞来入侵路由器的。届时将向获胜选手颁发奖品,具体奖品类型尚不得知。 全球最大社交网络遭遇麻烦 接下来,我们将一一回顾本周已发生的新闻事件:本周有关Facebook的新闻可以说是喜忧参半。 首先是本周一,来自欧美的一个隐私倡导团体要求Facebook推迟实施全新针对性广告政策。此前,Facebook的广告几乎全部基于用户所钟意的页面。就在上个月,这家社交网络公司发布了一条令人不解的声明,表示他们将赋予用户更多对所见广告的控制权,同时还将开始收集用户更广泛的网络冲浪行为信息。 众多用户团体向美国联邦贸易委员会提出抗议,希望延迟或者完全阻止Facebook进一步采集用户在Facebook域名以外的上网信息。这些团体表示Facebook的这一计划直接反驳了与此前所做出的有关隐私和用户跟踪方面的声明。就在上个月,Facebook还表示”用户将能自主控制网页上所看到的广告”,此前的声明明显欺骗了用户。 破坏性巨大的攻击迫使组织重建整个系统。 据Threatpost报道,在周二,Facebook修复了其安卓应用内的漏洞,这一漏洞能够让攻击者在受害人设备上造成拒绝服务的情况,或通过在设备上传输大量数据导致受害人手机账单飙升。因此,如果你在安卓系统运行Facebook的话,确保安装了最新的更新补丁。 另外,Facebook颇为流行的照片共享服务Instagram的移动版本并未部署完全加密。因此,用户不得不面临暴露浏览行为及会话cookie被窃的风险,这可能最终导致安卓和iOS系统的账户同时被盗。Facebook和Instagram都意识到了这一问题,并表示将修复这一漏洞,但修复的具体时间尚未给出。访问Threatpost和Kaspersky Daily,阅读更多内容。 高级持续性威胁 本周还曝出了中国高级持续威胁(APT)黑客入侵的事件,入侵对象则是曾参与以色列臭名昭著的”铁穹”导弹防御系统开发的国防承包商。据报道,在2011年至2012年期间,他们先后从以色列的三家国防承包商手中盗窃了一种特定型号反弹道导弹的详细原理图、火箭相关信息以及成页成页的其他机械文件。 据报道,另一个中国APT小组也入侵了加拿大一家主要的技术研究组织,最终迫使他们脱机下线。Threatpost的Chris Brook在其文章中写到此次攻击破坏性巨大,最终迫使该组织重建其整个系统。加拿大方面并未表示攻击发生的时间以及被盗资料的信息。

一周要闻:NoIP事件以及Miniduke重现江湖

在本周报道的新闻中,微软对NoIP采取了法律行动。据其申诉, NoIP是一家主机托管公司,通过允许网络犯罪分子使用其服务进行恶意攻击而获利。此外,Miniduke高级持续威胁攻击在本周又重现江湖。 NoIP NoIP是一家动态域名服务(DNS)供应商,所提供服务与其他DNS供应商相差无几,即通过向用户出售网站域名而盈利。但区别在于,简单地说,就是允许管理员更容易地更新域名和IP地址。但这一功能却成为了网络犯罪分子牟利工具,他们借此来躲避反病毒引擎检测,因为这会对恶意软件寄生网站的IP地址进行阻止,并且还能充当控制僵尸网络的服务器。不幸的是,本次事件还对使用动态DNS和NoIP的大量非恶意公司造成影响。 微软指责No-IP的基础设施被网络犯罪分子频繁地利用,通过使用Bladabindi(NJrat)和Jenxcus(NJw0rm)系列恶意软件感染无辜受害者。 微软”指责No-IP的基础设施被网络犯罪分子频繁地利用,通过使用Bladabindi(NJrat)和Jenxcus(NJw0rm)系列恶意病毒感染无辜受害者。”NoIP则反诉微软支持了恶意软件的运行。 作为打击恶意软件运行的手段之一,微软从有关当局获得临时禁令,被授权扣押在恶意运行中使用的域名和”沉洞”域名,从而使流向微软控制域名的流量改道。我们之前曾在这里讨论过”沉洞”,它是一种用于打击僵尸网络运行和其他恶意软件公司的广泛认可的方法,且使用方法多样。 据Threatpost网站报道,研究者今后将经常性地与主机托管供应商合作,将来自恶意域名的流量转至由研究者或执法机构控制的域名,这将有助于中断这些恶意域名的正常运行。问题是,NoPI宣称在整个事件过程中微软从未它有过接触。 这一决定在安全社区内引起了不小的骚动。其中一个争论的理由相当有代表性:是谁(不是执法机构,而是有关当局)赋予了微软这样一家私人公司权力,仅仅凭借自己的一套客观价值,就能对另一家个人公司或集团执行强制措施。其实,像微软这样IT巨头完全是为了自己的一己私利而在互联网上任意妄为。不走运的是,本次事件激起了千层浪,抱怨之声不绝于耳,起因是微软在执行扣押No-IP域名过程中,不小心将一些合法的网站一并关闭。 你可以从这里阅读卡巴斯基实验室全球研究和分析团队主管Costin Raiu对本次事件的分析。 Miniduke重现江湖 Miniduke高级持续威胁(APT)活动重现江湖。卡巴斯基实验室的研究人员于去年2月份首先发现了这一恶意软件间谍活动。当时,主要被部署用于对欧洲的一些政府机构进行间谍活动。Miniduke在首次被发现时,即察觉到其与众不同之处。原因很多,比如使用推特对恶意软件进行部分的通讯,以及发送用于升级恶意软件的可执行文件到受感染设备,并隐藏于.gif文件中。 第二波攻击-查看星期四的安全清单文章-显示这一攻击行动经过一整年的中断后,无论从影响范围还是复杂程度而言都有所提高。此外,该攻击行动将目标对准了政府、军队以及能源组织,还从网上毒贩(尤其是出售荷尔蒙制剂和类固醇)那儿窃取资料。此外,一旦此次攻击行动部署的恶意软件成功从目标处窃取信息,随即将这些信息分成各个小部分后进行散播,使研究者想弄清这一攻击行动的难度加大。 作为Miniduke的升级版,Cosmicduke拥有了全新的工具,能够更加有效地窃取更多的信息。你可以阅读来自于Threatpost网站的完整新闻报道。 在#本周的安全新闻中,@微软继续对#NoIP的域名进行扣押以及#Miniduke #APT重现江湖: