记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

索尼攻击事件的黑客组织曾攻击中、印、日等国家

2016-03-01 04:35

曾于2014年成功入侵索尼公司的黑客们当时绝非寂寂无名的新手。事实上,最新研究结果表明,这部分黑客至少自2009年开始就已经积极参与到网络攻击活动当中,并似乎先后开发出超过45个作为攻击手段的恶意软件家族。

以索尼恶意软件作为起点,多位研究人员已经对此次黑客行为同某个名为拉撒路(Lazarus Group)的黑客团体实施的其它攻击活动进行关联性追踪。该黑客集团明显开始于2009年,其最初采用复杂度较低的DDoS攻击手段,并于当年美国独立日周末假期时对30多个美国与韩国网站发起进攻。

自那时开始,这群攻击者们不断磨练自己的技术水平并开发新型工具,根据实际需要调整攻击方法并做出诸多颠覆性改进。最终,他们在2014年11月的“焦土攻击”中成功拿下索尼——此次入侵摧毁了索尼拥有的大量服务器,导致数TB数据失窃,并最终使得这位娱乐巨头陷入瘫痪。

“这绝不是那种源自一年之前,并在最近几个月内自发成形并被用于索尼攻击活动的入侵能力,”安全研究企业Novetta公司CEO Peter LaMontagne在接受媒体采访时表示。“这是一种既有能力,使得我们能够对此次攻击加以洞察——事实上,攻击者拥有良好的组织结构与充足的资源。”

来自AlienVault实验室与卡巴斯基实验室的研究人员在最近的一次会议演讲称:尽管攻击者们看起来似乎在2014年年末的索尼攻击事件后就沉寂了下来,但创痛事实上仍在继续针对其它企业实施恶意活动。

这项研究由多家安全企业协同完成,其中包括赛门铁克、卡巴斯基、AlienVault实验室以及数据分析企业Novetta,并于日前发布了包含大量调查细节的泛用报告。

基于超过一年的分析整理,研究人员们已经识别出拉撒路使用过的超过45款独特恶意软件。研究人员们识别这些恶意软件的功能主要包括收集攻击者对密码、代码片段、加密密钥、回避检测的混淆手段、命令与控制结构的重复使用乃至其它代码与技术细节。

通过这些共性,研究人员将拉撒路集团所使用的恶意软件整理出一套巨大的工具包,其中涵盖有远程访问木马、键盘记录器、安装器与卸载器、传播机制、DDoS僵尸工具以及磁盘驱动器清除工具等等——索尼黑客事件中该磁盘驱动器清除工具亦有登场。利用这些恶意软件,黑客们在过去十年当中陆续对来自韩国、美国、中国台湾、中国大陆、日本、印度的诸多行业机构进行过多次攻击入侵。具体攻击目标包括政府、媒体、军方、航天、金融以及其它关键性基础设施等。不过其中知名度最高的受害者仍然当数索尼公司。

“这是一份规模可观的清单,”Novetta公司厂家研究与预测部门高级技术主管Andre Ludwig在接受媒体采访时评论道。“如大家所知,微软公司作为行业巨头也仅仅拥有45款产品。只有大型企业才能拥有如此规模的工具、功能与项目储备。……这群恶意人士的行为与活动目标给人留下了深刻印象。……另外,最可怕的是他们根本不担心自己落入法网。”

03

索尼黑客事件引发了各方高度关注——特别是其严重的破坏性后果以及为期数周的幕后黑手溯源过程。各个团体将责任归咎于黑客行动主义者、索尼内部人员、朝鲜甚至是俄罗斯方面。最终,FBI将攻击定位于朝鲜境内,这也直接导致美国白宫决定对金正恩政权成员实施制裁。

研究人员们还严谨地指出,他们截至目前还没有发现任何足以表明拉撒路源自朝鲜的证据,不过Novetta公司在其报告中指出“FBI官员做出的归属推断可将我们的调查结果作为支持论据。”

他们同时指出,这场溯源游戏在重要性方面也远不及索尼黑客事件的巨大影响:攻击者们几乎没有遇到什么阻力就获得了对索尼内部网络的控制权。他们在攻击过程中并没有使用任何特殊恶意软件或者高科技手段,而单纯只是凭借着决心、关注以及出色的组织与协作能力——他们已经在其它攻击活动中充分展现了自身在这方面的素养。

这并不是说该集团的攻击活动在技术水平或者先进程度上能够与由美国、俄罗斯或者以色列等政府支持型黑客组织相媲美。但事实上,他们也不需要拥有如此突出的技术水准。拉撒路集团只需要在技术层面超越其既定攻击目标即可完成任务,具体包括索尼及其它过往受害方,Novetta公司指出,这意味着其已经达到了实现攻击效果的要求。

其中一方面原因在于拉撒路集团由多个团队而非单一团队构成。不过Novetta方面表示,各个集团拥有着相近的目标设置且“共享工具、方法、任务甚至是行动准则。”

研究人员如何追踪拉撒路的攻击活动

研究人员于2014年12月正式揭开了拉撒路集团的神秘面纱,而当时他们也刚刚发现索尼黑客事件当中所使用之恶意软件的相关信息。

首先,研究人员确认了攻击者们所使用的公共代码库与独特代码片段。接下来,他们编写签名与YARA规则以找出其它使用同样代码及库的恶意软件。YARA是一款模式匹配工具,专门负责识别不同恶意软件示例以及看似不相关攻击活动间的联系;YARA规则从本质上讲能够搜索字符串以找到这些隐藏的共通模式。由Novetta公司发布的长篇报告着眼于细节,探讨了各相关恶意软件及攻击活动间的共性。

研究人员对由Virus Total(一项免费在线服务,包含有三十多款反病毒扫描工具,用户可以随意上传可疑文件以了解这些扫描工具是否将其识别为恶意代码)以及卡巴斯基实验室等反病毒方案供应商直接从受感染客户处收集到的数十亿种恶意软件样本进行自动化扫描。随着时间推移,研究人员细化调整签名及YARA规则并最终将样本范围缩小至2000个文件,目前其中的1000个文件已经完成了手动检查并被确定归属于拉撒路集团。

其中包含四个不同的破坏性恶意软件家族,攻击者们利用其对数据及系统进行清除——这一点在索尼黑客事件中亦有体现。Novetta公司将它们分别称为Whiskey Alfa、Whiskey Bravo、Whiskey Charlie以及WhiskeyDelta——不过过去已经有其他研究人员发现了这些恶意家族并为其选定了其它名称。举例来说,被 Novetta命名为Whiskey Alfa的恶意软件家族在索尼黑客事件中负责数据清除,而此前已经有其他研究人员将其称为Destover。

研究人员们还发现拉撒路集团所使用的五份自我销毁脚本。自我销毁脚本能够确保恶意软件一旦在目标系统之上执行完毕,其——包括由其产生的一切运行痕迹——都会被彻底清除。黑客们一般通过创建Windows批处理文件实现这一目标,该文件中包含无限循环以一次又一次删除该可执行文件,直到所有痕迹消失无踪。

拉撒路攻击活动时间表

该组织的最早活动证据可以追溯至2007年,研究人员表示,当时攻击者们显然正在着手开发后来被用于OperationFlame攻击活动的代码。此次攻击随后又被同2013年针对韩国的黑客事件联系起来——也就是著名的DarkSeoul,黑暗首尔。

不过他们第一次令世人瞩目的行动源自2009年独立日当天的DDoS攻击——此次攻击活动彻底激怒了美国国会,一位议员直接敦促奥巴马总统对朝鲜“展示武力”,作为朝鲜启动对美网络战的回应。研究人员还发现,2009年的DDoS攻击、2013年的黑暗首尔攻击以及2014年针对韩国电力设施的破坏性攻击之间存在关联。

在同一时期,该集团还进行了一系列被研究人员们称为Operation Troy与Ten Days of Rain的网络间谍活动。发生于2011年3月的Ten Days of Rain目标直指韩国媒体、金融与关键性基础设施。

不过拉撒路集团实施的最为有趣的攻击活动可能当数其破坏性行为——此类活动共出现过三次,且始于2013年3月的黑暗首尔攻击。这些攻击将矛头指向韩国各广播公司、银行以及一家互联网服务供应商,且利用逻辑炸弹在特定日期及时间点对受害方计算机上的磁盘驱动器数据进行擦除,这直接导致银行客户在一段时间内无法使用其自动柜员机。不过无论在后果还是规模上,这都无法与次年出现的索尼黑客事件相比肩。

索尼黑客事件中的一大玄机在于,黑客开始以公开姿态介入这场攻击活动。索尼公司的员工首先发现了事态的严重性,而当时某个自称为“和平守护者(Guardians of Peace)”的组织通过计算机屏幕对索尼员工发送了消息。正是由于这种作法,再加上黑客们似乎是打算利用恶意手段向索尼索要钱财,才导致很多人认为此次事件的幕后主始人应该属于某些黑客行动主义者。

然而Novetta公司的研究人员指出,其它与拉撒路集团相关的攻击活动同样存在着公共角色介入的情况。2012年6月,该集团借“IsOne”之名对某家以保守观点著称的韩国报纸发动攻击。与“和平守护者”类似,IsOne“凭空出现又匆匆消失,”Novetta公司指出。而在2013年的黑暗首尔攻击中,则分别有New Romantic Cyber Army Team与WhoIs Team两支团队宣称为事件负责。

Novetta公司的研究人员提到,拉撒路集团利用这种黑客主义者伪装对公众及安全研究机构进行误导与视线转移。

“我认为他们希望能够通过舆论影响为自己设定一种虚假身份,从而掩盖真正的攻击活动目的。在我看来,这也是安全研究行业直到目前仍然很难对其活动进行归纳并识别其内部关联性的难点所在,”卡巴斯基实验室全球研究与分析团队高级安全研究员Juan Andrés Guerrero-Saade在接受媒体采访时解释称。

一旦当前攻击活动结束,他们会立即放弃所用名称及恶意软件,并转向其它潜在目标。“他们创造多种不同身份并采用与之匹配的工具包,而后清除痕迹并继续前进。”

不过这种战术仍不足以彻底解决问题。经过调整的代码与技术手段在经过多次复用之后,已经成为研究人员们追踪其攻击行为的重要线索。尽管相关代码片段往往非常微小,但已经足以帮助研究人员了解其行动轨迹。

“我认为他们并没想到我们能够追踪到这些蛛丝马迹,”Guerrero-Saade表示。

知识来源: www.1937cn.net/?p=2676
想收藏或者和大家分享这篇好文章→复制链接地址

“索尼攻击事件的黑客组织曾攻击中、印、日等国家”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词