在哈萨克斯坦发现了广泛的黑客行动

中国网络安全厂商奇虎360周五发布了一份报告,揭露了针对哈萨克斯坦国家的大规模黑客攻击行动。

gf-kazachstan-map.png

目标包括涉及各行各业的个人和组织,例如政府机构,军事人员,外国外交官,研究人员,新闻工作者,私营公司,教育部门,宗教人士,政府持不同政见者以及外国外交官等。

奇虎360表示,该活动范围广泛,似乎是由威胁参与者进行的,它拥有相当多的资源,并且有能力开发自己的私人黑客工具,从监控市场购买昂贵的间谍软件,甚至投资广播。通信拦截硬件。

有迹象表明,某些攻击依赖于向目标发送精心制作的带有恶意附件的电子邮件(鱼叉式网络钓鱼),而另一些则依赖于对设备的物理访问,这表明使用了部署在哈萨克斯坦的地勤人员。


奇虎的研究人员将这个小组命名为“ Golden Falcon”(Golden Falcon)(或APT-C-34)。这家中国安全厂商声称该组织是新成立的,但是当ZDNet与卡巴斯基联系时,我们被告知Golden Falcon似乎是DustSquad的另一个名字,该组织自2017年以来一直活跃

唯一详细说明其以前的黑客操作的报告可以追溯到2018年,当时该报告使用鱼叉式网络钓鱼电子邮件将用户引向带有恶意软件的Telegram版本。

就像本周奇虎记录的攻击一样,2018年的攻击也针对哈萨克斯坦,但使用了不同的恶意软件菌株。

奇虎的新报告主要基于这家中国公司访问Golden Falcon的指挥与控制(C&C)服务器之一后获得的数据,他们从那里检索了有关该集团活动的运营数据。

这家中国公司在这里表示,它从受感染的受害者那里找到了数据。收集的数据主要涉及从被黑计算机中获取的办公文件。

所有被盗信息都按每个城市的文件夹排列,每个城市的文件夹都包含每个受感染主机上的数据。研究人员说,他们发现了来自位于哈萨克斯坦13个最大城市以及更多城市的受害者的数据。

数据已加密,但研究人员称他们能够解密。在内部,他们还发现有证据表明,金鹰(Golden Falcon)也在监视该国的外国人-奇虎将中国留学生和中国外交官指定为目标。

昂贵的黑客工具

C&C服务器上的文件显示了该组正在使用的黑客工具类型。有两个工具脱颖而出。第一个是RCS(远程控制系统)版本,这是意大利供应商HackingTeam销售的监视套件。第二个是后门特洛伊木马,名为Harpoon(俄语为Garpun),似乎是由该组织本身开发的。

关于RCS的使用,最引人注目的是Golden Falcon正在使用新版本的RCS。RCS版本号很重要,因为在2015年,黑客入侵并泄漏了HackingTeam的所有内部文件,包括RCS的源代码。

当时,RCS版本号是9.6。据奇虎公司称,他们在Golden Falcon拥有的RCS实例的版本号是10.3,是一个较新的版本,这意味着该组织很可能从其分销商那里购买了一个较新的版本。

但是Golden Falcon还拥有另一个强大的工具。奇虎公司表示,该集团正在使用一个独特的后门,该后门在该集团的运营之外从未见过,很可能是他们自己创造的。

这家中国供应商表示已获得该工具手册的副本。目前尚不清楚他们是否在该小组的C&C服务器上找到了该手册,或者是否从其他来源获得了该手册。但是,该手册显示了一个开发完善的工具,具有丰富的功能集,可与当今许多现有的顶级后门特洛伊木马程序媲美。

功能包括:

  • 键盘记录
  • 窃取剪贴板数据
  • 以预定间隔获取活动窗口的屏幕截图
  • 列出给定目录的内容
  • 获取Skype登录名,联系人列表和聊天消息历史记录
  • 获取Skype和Google Hangouts联系人和语音记录
  • 通过麦克风录制声音,进行监听
  • 从目标计算机复制指定的文件
  • 自动从可移动媒体复制文件
  • 将所有截获的数据存储在指定目录内的加密数据文件中
  • 将窃取的数据发送到指定的FTP服务器
  • 运行程序或操作系统命令
  • 将文件从给定的FTP下载到特定目录
  • 远程重新配置和更新组件
  • 从给定的FTP接收数据文件并自动将文件提取到指定目录
  • 自毁

上面列出的大多数功能是大多数高级后门特洛伊木马的规范,通常在民族国家级别的网络间谍活动中遇到。

移动恶意软件

但是奇虎公司的研究人员还发现了据称由该组织签署的其他文件,例如合同。

重要的是要指出,网络间谍组织不会将合同留在C&C服务器上。目前尚不清楚这些合同是在Golden Falcon的C&C服务器上找到的,还是从其他来源获取的。奇虎没有说。

这些合同之一似乎是用于购买称为Pegasus的移动监视工具包。这是NSO Group出售的功能强大的移动黑客工具,具有Android和iOS版本。

该合同表明,金鹰至少对收购NSO的Android和iOS监视工具表现出了兴趣。目前尚不清楚该合同是否曾经通过出售而完成,因为奇虎在合同之外没有发现任何有关NSO飞马的证据。

图片:奇虎360

无论哪种方式,Golden Eagle确实都具有移动黑客功能。该功能是由HackingTeam提供的Android恶意软件提供的。

奇虎表示,他们分析的恶意软件包括17个模块,其功能从音频窃听到浏览器历史记录跟踪,从窃取IM聊天日志到跟踪受害者的地理位置。

无线电拦截硬件

第二套合同显示,Golden Falcon还从位于莫斯科的国防承包商Yurion购买了设备,后者专门从事无线电监控,窃听和其他通信设备。

再次,奇虎只分享了有关合同存在的详细信息,但没有透露设备的购买或使用情况,因为这种功能超出了常规安全软件公司可以使用的工具范围。

图片:奇虎360

追踪会员?

这家中国网络安全公司还表示,已通过合法数字签名中留下的细节追踪了数名金鹰猎鹰的成员,据称这些细节是在他们发现的合同中找到的。

研究人员说,他们追踪了四只金鹰猎鹰成员和一个组织。

使用奇虎分享的截图中未经审查的数据,我们能够将小组的一名成员追踪到一个LinkedIn档案,该档案属于莫斯科地区的程序员,这家中国公司称其为Golden Falcon的“技术工程师”。

没有官方的署名-但是有很多理论

奇虎和卡巴斯基在其2018年报告中均未对该团体做出任何正式归因。两者共享的唯一细节是,这是俄语的APT(高级持续威胁-一种用于描述先进的,由国家支持的黑客单位的技术术语)。

在本文研究期间,ZDNet向一些分析师征求了他们的意见。我们听到的最常见的理论是,这“看起来”是(1)俄罗斯APT,(2)哈萨克斯坦情报机构对其公民进行间谍活动,(3)俄罗斯雇佣军团体按需为哈萨克斯坦政府进行间谍活动- -最后两个是最常见的答案。

但是,应注意,这些论点是主观的,并非基于任何实际的实质性证据。

使用HackingTeam监视软件以及对购买NSO Group移动黑客功能的询问确实表明,这确实是一家授权的执法机构。但是,奇虎还指出,此次黑客攻击活动的目标/受害者也是中国西北地区的中国政府官员,这意味着,如果这是哈萨克斯坦执法机构,那么他们将严重超越自己的管辖范围。


发表评论 / Comment

用心评论~