为什么Turla和APT32会一直被各个国家所重视,因为,数据安全和经济并不仅仅是电影中才看得到,一些极端组织更会利用这些去构造不同的事件,所以,有些国家为了某些利益关系,更是会滋长这部分的势力,其它的留到 公众号 里说吧。
Turla由来90年代著名网络间谍组织“月光迷宫”(Moonlight Maze)已经演变成了今天的Turla
APT,它们都具有或多或少相同的技术手段,且共同背景就是:与俄罗斯政府黑客相关。
首先,先来认识下月光迷宫,**“月光迷宫”(MOONLIT MAZE)**是一次网络攻击,在1996年10月7日,美国科罗拉多矿业大学网络遭黑客入侵,攻击者通过Sun OS4操作系统漏洞入侵了该校布朗大楼内一台昵称为“Baby_Doe”的电脑,他们以这台电脑为中转陆续入侵了美国国家航空航天局、美国海军和空军总部及遍及全美的高校和军事机构。
在 美国联邦调查局(FBI) 和国防部的共同调查下发现,入侵者窃取了从头盔设计到大气数据等大量美国机密信息,数量打印成稿的高度可堪比华盛顿纪念碑。随着调查继续深入,最终溯源为俄罗斯特工行为,由于其入侵活动多在夜间进行,且鉴于其行为复杂性,故命名为“月光迷宫”。
该网络入侵行为是历史上第一个已知的网络APT攻击。从那时起人们也意识到,网络间谍和网络战不仅只是好莱坞电影中的把戏,而是种真实存在。“月光迷宫”开启了网络间谍的篇章,也成为了很多黑客书籍中的经典案例。
在网络入侵活动中,黑客一般会利用中转或跳板机作为攻击代理,防止溯源调查,而“月光迷宫”入侵者也是最早采用该技术的攻击者。他们利用很多国家的一系列大学、图书馆等存在系统漏洞的机构电脑作为中转跳板,存储攻击工具,发起网络攻击,以此迷惑调查行为。
组织性和目标以中国和美国等地的政府、军事、大使馆、研究和制药组职为入侵目标,之前也制作过Linux 木马。据说他们是受到俄罗斯政府支持。虽然他们会有行动,但执法机关一直没法知道他们所在何方,因为他们善于隐藏自己。
为什么难以查询据说是利用了人造卫星,因为由于旧式人造卫星不能支援加密连线,Turla 就可以利用这个漏洞。另外,使用人造卫星服务的用家如果没有做好安全保护,就可以为Turla 提供机会。这样,Turla 便可以拦截卫星与用家之间的通讯。
其实 Turla 要准备的工具也不复杂。首先,要住在人造卫星的覆盖范围;第二,就是卫星天线,用作接收流量;第三就是固网(landline)的互联网连接。之后,Turla 的黑客就可以分析来自卫星的流量,再选择当时在线上的用户。
选定用户后,黑客就可以向受害者的电脑植入恶意软件,把他们流量转向未用的port,并透过卫星传出。正常而言,受害者会收到来自其他电脑的回应,但在卫星上网等慢速连接的情况下,电脑会直接忽视受害者发出的流量。
此时侯,黑客的C&C 伺服器就会透过固网上网来回应请求,之后受害者的电脑就会把资料传送到C&C。由于C&C 是在卫星巨大的覆盖范围之下,所以Turla 就可以隐身,侦查人员只可大海捞针。
旧版
早期的“月光迷宫”采用了一种不断尝试攻击反复试错的入侵手段,攻击者每当遇到目标服务器时,都会上传使用一个广谱黑客工具TAR压缩包,通过该压缩包中大量漏洞利用程序、捆绑文件、特定或开源工具、自动脚本进行尝试攻击,而其中的漏洞利用工具几乎来自于开源代码整编。攻击者以这种“普遍撒网”的方式大范围对目标开展入侵尝试,如果目标存在漏洞,进而进一步掌握控制。
改进的Linux网络监听工具“solsniffer”
攻击者利用整合了tcpdump和libpcap两种功能模式的类似于solsniffer的网络协议监听工具,对受害者网络系统进行混杂模式监听,同时产生了诸如telnet、pop3、ftp、rlogin等系统连接日志(参见附录A)。
可以说,“月光迷宫”攻击者使用的大部分工具都模仿或来源于安全论坛和一些安全通知邮件列表,在恶意软件混淆或伪装时代之前,这些都算是一些直截了当和目标明确的黑客工具,这种相对务实的功能实用性在现代恶意软件中很少见。