Turla

2 文章

《安全周报》第37期: bugzilla的 bug信息外泄、Carbanak”卷土重来”以及利用С&C实施网络钓鱼

在我们爆炸性的热门新闻系列”Infosec news”的新一期中,我们将为您带来以下内容: Bugzilla遭黑客攻破给我们敲响了警钟:完全有必要设置高强度和唯一密码。 导致网络攻击者从各大金融组织窃取数百万美元的Carbanak黑客活动在欧洲和美国”卷土重来”。 卡巴斯基实验室研究发现了一种增强网络间谍C&C服务器隐秘级别的方法,可从”非常难以追踪”级别提高至”根本无法追踪”级别。 再次重申我们《安全周报》的编辑原则:每周Threatpost团队都会精心摘选三条当周要闻,并加上本人的辛辣评论。 Bugzilla的bug数据库遭黑客攻破 新闻。有关这一网络攻击的常见问题。 在上一期的《安全周报》中,我提出了所谓“负责任的信息披露”的问题,同时还列举了网络公司对披露所发现bug相关信息的不同意愿。有关Mozilla的bug追踪器遭黑客攻破的新闻可谓是这方面的完美范例:有时候隐藏存在漏洞的信息未尝不是好事。 显然这一问题并未得解决。在8月份,Mozilla发布了针对Firefox的补丁,并成功修复了存在于内置PDF查看器的bug。一名遭受漏洞利用的受害用户发现了这一bug并随即报告了该漏洞。这一网络攻击的切入点是特别设计的横幅广告,使得网络犯罪分子能窃取用户的个人数据。 我始终认为在开发人员编写补丁时,他们就已经意识到了bug。Bugzilla也含有关于该bug的信息,但却保存在系统的私用部分。上周所发生的状况证实了人们对非法访问的怀疑。事实上,Bugzilla并未被”黑客攻破’:只是网络攻击者发现了特权用户并在另一个受感染数据库找到了他的密码–而这各密码恰巧就是访问Bugzilla的密码。 结果是,网络攻击者早在2013年9月就成功访问了隐秘的bug数据库。在该网络攻击的常见问题中详细记载了在这一期间,黑客总共访问了185个bug的相关信息,其中53个bug极度危险。在网络犯罪分子非法访问数据库后,在被盗的bug清单中总共有43个漏洞打上了补丁。 在剩下信息遭泄露的bug中,其中有两个bug的信息在泄露一周内可能被打上了安全补丁;从理论上说,其中5个bug可能已被实施漏洞利用,因为在信息外泄后的一周到一个月内才发布了相关补丁。剩下的漏洞在过了335天后才发布了有针对性的补丁,在这期间总共被漏洞利用了131,157次。这是有关黑客攻击最可怕的新闻;然而,Mozilla开发者并没有’证据表明这些漏洞都已遭到漏洞利用。’在50多个bug中,只有一个曾遭到漏洞利用。 其中的道理很简单,我真的非常想登上高台大声疾呼:”朋友们!兄弟们,姐妹们!女士们,先生们!请务必对每个单独网络服务使用唯一密码!”然而,这并没有表面看上去的那么简单:此类方法肯定还要用到密码管理器。尽管可能你已经有了密码管理器,但你依然需要静下心来准确并彻底更改所有你使用频率较高的网络资源的密码,如果是全部网络资源的话当然更好。而来自我们的统计数据显示只有7%的人使用密码管理器。 全新Carbanak版本”卷土重来”,再次对美国和欧洲实施网络攻击 新闻。卡巴斯基实验室的2月份研究。CSIS更新研究。 我们将引用我们在2月份对’史上最严重数据盗窃’所发表的声明: “网络攻击者有能力将窃取的资金转移到他们自己的银行账户并立即篡改余额报表,这样可以防止该攻击被许多强大的安全系统发现。这一操作的成功是建立在网络犯罪分子对银行内部系统完全掌控的情况下。这也是为什么在成功攻破银行系统后,网络分子使用了大量情报技术以收集有关银行基础设施工作方式(包括:视频捕捉)的必要信息。” 在与执法机构的共同努力下,发现了多家银行因受到复杂且多层的Carbanak攻击而遭受资金损失,总金额达到10亿美元,且总共有超过100多家大型金融机构不幸成为受害者。但上述网络攻击发生在2月份,而在8月末的时候丹麦CSIS研究人员再次发现了Carbanak的全新改进版本。 新旧版本之间的区别并不大:只是将域名替换成了静态IP地址。至于数据盗窃所用的插件,与2月份使用的并无差异。 据CSIS称,新版本的Crabanak将攻击目标锁定为欧洲和美国的大型公司。 Turla APT攻击:如何借助卫星网络隐藏C&C服务器 新闻。另一篇新闻。研究。 包括卡巴斯基实验室研究专家在内的众多infosec研究人员长期对Turla APT网络间谍活动进行研究。去年,我们公布了针对黑客攻破受害人计算机、收集数据并发送至C&C服务器方法的极其详细的研究。 这一复杂的网络间谍活动每个阶段都需要用到许多工具,包括:借助零日漏洞利用受感染文档的’鱼叉式网络钓鱼’;病毒感染网站;根据攻击目标的复杂程度和数据临界性的各种数据挖掘模块(手动挑选);以及相当高级的C&C服务器网络。结果是,截止8月份,该网络间谍活动声称已在45个国家(欧洲和中东地区占了大部分)致使数百名用户不幸成为受害人。 就在本周,卡巴斯基研究人员https://twitter.com/stefant公布了该网络攻击最后一阶段的数据,也就是将盗窃数据发送至C&C服务器的时候。为了能进行数据挖掘,Turla像之前的许多APT黑客小组一样,使用了各种不同方法–比如,滥用防托管。而一旦将盗取数据发送到在特定服务器上托管的特定C&C,那无论网络犯罪分子设置何种代理,都极大可能会遭到执法机构逮捕或被服务提供商阻止。 而这时候就需要用到卫星网络。使用卫星网络的优势在于只要在卫星覆盖范围内,就可以在任何地点建立或移除服务器。但这里还有个问题:租用容量够用的双向卫星信道不仅租金昂贵,而且一旦踪迹被发现将很容易暴露服务器的位置。我们研究专家发现的攻击方法并未使用到租赁模式。 只需对卫星通信终端的软件稍加修改就能进行”卫星钓鱼”,不仅不会拒绝不属于任何特定用户的数据包,同时也会进行收集。结果是,”卫星钓鱼者”可能会收集到其他人的网页、文件和数据。这一方法只有在一种情况下有效:卫星信道并未加密。

俄罗斯网络间谍对卫星实施漏洞利用

Turla APT黑客小组(又称”Snake”和”Uroboros”)被誉为全球最高级的网络威胁者。在8年多的时间里,这一网络间谍小组在互联网上兴风作浪、为所欲为,但直到我们去年出版《Epic Turla research》之后,其黑客活动才为普通大众所知晓。 我们在研究中尤其发现了一些语言痕迹的案例,表明Turla小组的一部分成员来自俄罗斯。这些人采用常用于补充斯拉夫字符的1251代码页,里面像’Zagruzchik’这个词在俄语中表示”引导装在程序”的意思。 Turla黑客小组之所以特别危险且难以抓到的原因不仅仅是因为使用了复杂的黑客工具,而是在最后攻击阶段实施了精密的基于卫星的命令与控制(C&C)机制。 命令与控制服务器是高级网络攻击的基础。同时,这也是恶意基础设施中最薄弱的一环,因此往往会成为数字调查者和执法机构的首要打击目标。 主要有两个原因。首先,这些服务器被用来控制所有的操作。一旦成功将其关闭,就能扰乱甚至完全破坏网络间谍活动。其次,C&C服务器可以用来追踪网络攻击者的实际所在位置。 这也是为什么这些网络威胁者总是不遗余力将自己C&C服务器隐藏得尽可能深。Turla黑客小组也找到了颇为有效的隐藏方法:在空中取消服务器IP。 使用最广泛且最廉价的基于卫星的网络连接类型之一就是只使用下行连接。在这里,来自用户电脑的数据通过常规线路—宽带线或蜂窝网络传送—而所有输入流量则来自卫星。 然而,这一技术也有缺陷性:所有从卫星发送到电脑的下行流量均未加密。简而言之,任何人都可以拦截这些流量。Turla小组利用这一漏洞想出了一个有趣方法:隐藏他们自己的C&C流量。 具体操作步骤如下: 他们监听来自卫星的下行流量以发现活跃的IP地址,而这些地址必须属于此刻在线的基于卫星的网络用户。 随后他们选择一定数量当前活跃的IP地址,在合法用户不知道的情况下隐藏C&C服务器。 被Turla用病毒感染的机器将会按照指令向被挑选的IP地址发送所有数据。数据通过常规线路发送至卫星,并最终从卫星传送到IP被挑选到的用户。 这些数据会被合法用户的电脑当做垃圾清除,而这些网络威胁者则从下行卫星连接获取这些数据。 由于卫星下行覆盖区域极大,因此根本无法准确追踪到这些网络威胁者接收器的实际位置。此外,Turla黑客小组还倾向于对位于中东和非洲国家(例如:刚果、黎巴嫩、利比亚、尼日尔、尼日利亚、索马里或阿联酋)的卫星网络提供商实施漏洞利用,因此要想抓到他们更是难上加难。 由于这些国家运营商所用的卫星通讯信号束无法覆盖欧洲和北美地区,这对大多数安全研究专家研究此类攻击造成极大的困难。 Turla黑客小组实施的一系列网络攻击至今已感染了超过45个国家(包括:哈萨克斯坦、俄罗斯、中国、越南和美国)的数百台计算机。Turla黑客小组无论是对政府机构和大使馆还是军事、教育和研究机构以及制药公司均十分感兴趣。 坏消息就说到这里。对我们用户而言,好消息是卡巴斯基实验室产品成功检测并阻止了Turla网络威胁者所使用的恶意软件。