哎呦——东欧国家的外交官被 Turla “蚊子” 叮了一口
翻译:360代码卫士团队
一些网络监控组织非常先进,不惜花费数月时间侦探并深挖恶意软件代码为自己服务。被指跟俄罗斯存在关联的Turla 就是这样一个组织。
Turla 组织一直攻击和俄罗斯存在政治利益的目标。该组织至少活跃于2007年,被指跟活跃在20世纪90年代的网络监控组织之间有关联,最近它的攻击目标是前苏联国家的大使馆和领事馆。
ESET 公司昨天发布一份长达29页的报告称,Turla 黑客一直使用看似非恶意的 Flash Player 官方安装器传播代码。研究人员初次分析后发现,即使受害者从恶意来源下载文件后,文件也会连接到真正的 Adobe 域名和 IP 地址中并下载、安装这些文件。
尽管流量看似合法,大使馆和领事馆的员工还是收到了一个新后门木马“蚊子”。带有“蚊子”后门的攻击发生在2016年7月,能让 Turla 组织嗅探重要文件并通过其它恶意软件感染用户。
ESET 公司确信Turla 黑客设法攻陷了 Adobe 服务器的场景是不存在的,否则肯定会被发现。ESET 公司认为 Turla 黑客可能只是在炫耀自己的创新性,之后才会把被攻陷向量转换到软件供应链中。
专家认为Turla 黑客能够在 Adobe Flash Player 的安装进程中执行中间人攻击,方法就是用自己的恶意安装器替代合法安装器。这样就导致文件似乎传输自 Adobe 的服务器,但实际的文件已被黑客转换。
虽然尚不知晓在哪个节点文件被转换,不过研究人员列出了四种场景:
受害者组织机构网络中的一台设备可遭劫持从而用作本地中间人攻击的出发点,这将有效地将目标机器的运行中的流量重定向至本地网络中被攻陷的机器中。
攻击者还可能攻陷组织机构的网关,从而拦截组织机构内网和互联网之间所有的流量。
流量拦截还可能发生在互联网服务提供商 (ISP) 层面,这种技术已在研究人员对部署 FinFisher 间谍软件的监控活动中得到证实。所有已知的受害者都位于不同国家,而且研究人员已经通过至少四个不同的 ISP 识别出他们。
攻击者可能使用 BGP 劫持将流量重路由至由 Turla 组织控制的服务器中,尽管这种技术可能会快速被 Adobe 或 BGP 监控服务发现。
最有说服力的场景是以上提到的第三个,因为之前发生过 ISP 级别的中间人攻击。 2017年9月,ESET 公司报道称一个未知网络监控组织攻陷了一家 ISP 并转移了某些目标所下载的文件。攻击者用受 FinFisher 监控软件套件感染的文件替换了 WhatsApp、Skype、Avast、WinRAR、VLC Player 等公司的合法文件。
ESET 公司并未将这些攻击归因于具体的某个黑客组织,不过它们为 Turla 组织最近发动的攻击活动提供了最好的解释。网络间谍组织之间互相学习互取灵感已是不争的事实。
如果 Turla 组织确实是上述提到的两起攻击的黑手,那么网络安全社区也不会感到任何惊讶。如果说一个黑客组织有足够的能力和决心要发动这类攻击,那么非 Turla 莫属。
Turla 组织因发动多起高级别攻击而为人熟知,它使用卫星向全球边远地区传播恶意软件、开发出具有 API 的先进恶意软件、且它使用的恶意软件能将控制机制隐藏在 Britney Spears (美国流行乐坛天后小甜甜布兰妮)的 Instagram 照片流中。
Turla 组织一刻不停,一直都处于活跃状态。最近针对大使馆的攻击和 ESET 以及卡巴斯基在2017年8月公布的两起攻击是一致的。
关联阅读
Gazer:Turla APT组织攻击全球政府部门和大使馆的新后门
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/security/russian-cyber-spies-are-carrying-out-some-pretty-clever-hacks-these-days/