神刀安全网

解密针对瑞士军工企业的TURLA APT攻击

解密针对瑞士军工企业的TURLA APT攻击

自从黑客声称将会对瑞士军工企业 RUAG 集团发动攻击以来,瑞士政府官员一直对此守口如瓶,并未透露任何消息。但在周一时候,瑞士计算机紧急预备小组( CERT Computer Emergency Readiness Team )发布了一份事故调查报告。在报告中披露了关于此次针对 RUAG 集团网络攻击的相关细节,介绍了黑客的攻击过程。

然而,在报告中,并未列举出被盗数据的类型,而是阐述了盗取数据过程中的很多具体细节。例如:黑客采用了网络间谍软件Turla(一种新型间谍软件,由卡巴斯基实验室的安全专家们发现),木马程序以及Rootkit恶意软件等结合的,一种复杂的攻击方式。此外,安全专家认为,早在2014年,RUAG集团的有些计算机就已经被病毒感染了,而该公司的安全人员却一直没有发现。黑客正是利用这一失误,发动了这次蓄谋已久且有条不紊的攻击。

2016年5月初,瑞士国防部部长Guy Parmelin表示:在1月初的达沃斯世界经济论坛峰会召开期间,黑客就曾对瑞士政府机构的网站发动过攻击。Parmelin同时也谈到了此次RUAG集团攻击事件。他说:“黑客侵入了RUAG的系统服务器,盗走了大量还未解密的数据。”

黑客发动的这次攻击,是一次典型的网络间谍式攻击。他们采用了步步蚕食的策略,耐心地制订了整个攻击计划:首先逐步破解RUAG集团服务器,对其实施操控;进而横向扩大攻击范围,感染系统中的其他设备。

在此次攻击中,黑客使用的核心软件是Epic Turla(Turla间谍软件家族的一个分支,也是一种著名的间谍木马程序)。同时这次攻击也是“Epic Turla”大规模间谍活动的一部分。它是一次经过周密部署后发动的网络间谍活动。目标是攻击政府、军队、军工企业以及各国驻外大使馆的网络系统,窃取机密数据。来自卡巴斯基实验室的安全专家们指出,这种类型的网络攻击采用了网络钓鱼与PDF文档破解结合的攻击方式,同时还加入了社会工程学的技术元素,向一些收件人发送带有恶意软件的电邮,使其计算机遭到恶意软件感染。这些恶意软件会扩大用户屏幕保护程序文件(SCR)的使用权限,或是在系统中,制造一个Java攻击漏洞;以及给用户安装一个假的Flash Player插件。

CERT的报告指出:“黑客在完成渗透攻击后,并没有急于开始攻击其他设备,而是很耐心地开始寻找他们感兴趣的攻击对象。在锁定目标(包括系统IP地址列表、浏览记录器等)后,他们采用了多种方式,对目标发起攻击。”

“一旦黑客进入了RUAG的网络,他们就会将注意力转向其他被感染的设备,并侵入这些设备,拿到更多的访问权限。他们攻击的主要目标之一就是系统的活动目录(Active Directory)。因为一旦获取了活动目录,他们就能控制其他设备;同时,还能通过利用集团内部人员的访问权限,获取到他们所感兴趣的数据。”

该报告还指出:黑客用的恶意软件会向系统发送,向外部转移数据的请求。在RUAG集团的系统中使用的是C&C(Command&Control)服务器。反过来说,这些服务器会向被感染的设备发送新的任务指令。黑客就是利用了这一点,才盗取了其中的数据。

为了能够绕过网络系统的检测,黑客在已经被其渗透的网络中,建立了一个分层式的内部设备通信通道。目的是实现各个被感染设备之间的通信。要实现这种带有通道的P2P网络之间的通信,而当一些作为工作站的设备无法连接到C&C服务器时,就要求网络中的其他一些设备扮演起通信基站的角色,帮助其实现与服务器的通信。

卡巴斯基实验室知名安全研究员Kurt Baumgartner表示:实验室中一些研究员已经对Epic Turla网络间谍活动,进行了长时间的跟踪调查。最近,我们又有了新的发现,即:通过对黑客所使用的BeEF(一种安全测试工具)工具和Google Analytics的研究,我们证实了之前得出的结论:黑客针对不同操作系统,研发出了不同的Turla软件。对此,我们将进一步研发出更先进的防御工具。

Baumgartner还特别提到了黑客使用链式感染攻击。在侵入一个设备之前,他们会对该设备进行观察研究,以确保该设备符合他们的攻击要求。为了达到这一目的,黑客会制造一个能对感染设备发出的请求进行重定向的漏洞。

CERT的报告中提到:“这个漏洞能够将系统发出的请求重定向到受感染的设备上,同时这种重定向还在时刻发生变化。我们的研究人员对网址缩写器(URL Shortner)和伪装成Google Analytics Scripts脚本的JavaScripts脚本,进行了长时间的观察研究。同时,被感染的网络站点会对用户的IP地址进行验证。如果验证成功,恶意软件就会给黑客提供一个相应的历史记录验证脚本。”

同时,这个验证结果也发送给服务器。接下来,就由黑客来决定,是否要攻击此设备。攻击方式是向其发送一个开发工具,或者使用一些社会工程技术来破解。

Baumgartner还说道:“在确定了攻击方式后,紧接着就是要使用一个复杂的浏览记录脚本了。这个脚本记录了很多用户使用JavaScripts脚本的信息。它是源自于BeEF框架(BeEF也是一种浏览器开发框架)。”

“黑客还在被感染的网络中安装了一些复杂的开发工具,用于破解使用。”当黑客要对网络中的其他设备发起攻击时,他们会采用一些效果较好的渗透技术以及渗透工具。这些工具包括: Mimikatz Pipelist Dsquery 以及 ShareEnum

CERT报告的作者表示,他们一直就没想过要去查明这起事件的幕后黑手。这样做的原因有两个:第一,对于很多人给出的,关于凶手的推测,我们无法找到足够的证据来证实;第二,在我们看来,这已经不重要了。因为很不幸的是,现在有大量的黑客都在使用相同的手法来进行网络渗透攻击,作案的过程都几乎一样。因而给我们的调查带来了很大的难度。

在CERT提供的事故调查报告中,很多的数据分析,整合工作经过了瑞士信息报告与分析中心(MELANI)的认定,情况属实。

本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。

原文链接:https://threatpost.com/unraveling-turla-apt-attack-against-swiss-defense-firm/118254/

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 解密针对瑞士军工企业的TURLA APT攻击

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址