首页 网络安全 安全学院 查看内容

连线杂志:俄罗斯最聪明的黑客组织鲜为人知的地下历史

2023-5-23 08:14 5263 0

摘要: 从USB 蠕虫到基于卫星的黑客攻击,被称为 Turla 的俄罗斯 FSB 黑客花了 25 年时间将自己打造成“头号对手”。要问西方网络安全情报分析员,他们“最喜欢”的外国国家支持的黑客团体是谁?——他们情不自禁地钦佩和痴 ...
关键词: Turla 黑客 他们 网络 恶意 间谍 组织 美国 美国国家安全局 软件

从USB 蠕虫到基于卫星的黑客攻击,被称为 Turla 的俄罗斯 FSB 黑客花了 25 年时间将自己打造成“头号对手”。

要问西方网络安全情报分析员,他们“最喜欢”的外国国家支持的黑客团体是谁?——他们情不自禁地钦佩和痴迷地研究的对手——是某国的 APT41,它肆无忌惮地发动供应链攻击,也不是朝鲜的 Lazarus 黑客实施大规模的加密货币抢劫。

大多数情报人员甚至不会指出俄罗斯臭名昭著的 Sandworm 黑客组织,尽管军事单位对电网或破坏性的自我复制代码进行了前所未有的拒绝服务攻击。

相反,计算机入侵鉴赏家倾向于命名一个更为微妙的网络间谍团队,他们以各种形式悄悄渗透西方网络的时间比其他任何组织都长得多:一个名为 Turla 的组织。

上周,美国司法部和联邦调查局宣布,他们已经捣毁了 Turla(也被称为 Venomous Bear 和 Waterbug)的一项行动,该行动使用一种名为 Snake 的恶意软件感染了 50 多个国家/地区的计算机。被美国情报机构描述为俄罗斯联邦安全局的“首要间谍工具”。通过渗透 Turla 的被黑机器网络并向恶意软件发送删除自身的命令,美国政府严重挫败了 Turla 的全球间谍活动。

但在其公告中——以及在为执行该行动而提交的法庭文件中——FBI 和 DOJ 走得更远,并首次正式确认了去年一群德国记者的报道,该报道透露Turla 为 FSB 的 16 中心工作小组在莫斯科郊外的梁赞。它还暗示 Turla 作为顶级网络间谍机构的令人难以置信的长寿:FBI 提交的一份宣誓书指出,Turla 的 Snake 恶意软件已经使用了将近 20 年。

事实上,Turla 可以说已经运营了至少 25 年,约翰霍普金斯大学战略研究教授和网络安全历史学家 Thomas Rid 说。他指出有证据表明正是 Turla——或者至少是我们今天所知道的组织的一种原型Turla——执行了有史以来第一次由情报机构执行的针对美国的网络间谍活动,那是1996年,该活动被命名为“Moonlight Maze”(月光迷宫)。

鉴于那段历史,该组织绝对会卷土重来,Rid 说,即使在 FBI 最近中断其工具包之后也是如此。“Turla 确实是典型的 APT。”Rid 说,APT是“高级持续威胁”的缩写,网络安全行业使用这个术语来指代国家支持的精英黑客组织。“它的工具非常复杂,隐蔽且持久。四分之一个世纪不言而喻。真的,它是头号对手。”

纵观其历史,多年来,Turla 多次消失在阴影中,只是重新出现在受到良好保护的网络中,包括美国五角大楼、国防承包商和欧洲政府机构的网络。但比它的长寿更重要的是,Turla 不断发展的技术独创性——从 USB 蠕虫到基于卫星的黑客攻击,再到劫持其他黑客的基础设施——在这 25 年里让它脱颖而出。

安全公司 SentinelOne 首席威胁情报研究员 Juan Andres Guerrero-Saade 说。“你看看 Turla,有多个阶段,天哪,他们做了一件了不起的事情,他们开创了另一件事情,他们尝试了一些以前没有人做过的聪明技术,并对其进行了扩展和实施。”Guerrero-Saade 说:“他们既创新又务实。”

这是 Turla 两年半精英数字间谍活动的简史,可以追溯到国家支持的间谍军备竞赛的最开始。

1996:Moonlight Maze(月光迷宫)

当五角大楼开始将一系列入侵美国政府系统的行为作为单一的、庞大的间谍行动进行调查时,它已经持续了至少两年,并且正在大规模窃取美国的机密。1998 年,联邦调查人员发现一群神秘的黑客一直在潜入美国海军和空军以及美国国家航空航天局、能源部、环境保护署、国家海洋和大气管理局的联网计算机,少数美国大学和许多其他大学。如果用一堆文件进行比较,黑客的总传输量或许比华盛顿纪念碑高三倍。

参与调查的前美国国防部情报官员鲍勃·古利 (Bob Gourley) 表示,从一开始,反情报分析人士就认为,根据他们对黑客活动的实时监控以及他们针对的文件类型,黑客起源于俄罗斯。古尔利说,正是黑客明显的组织和坚持给他留下了最深刻的印象。“他们会碰到一堵墙,然后具有不同技能和模式的人会接管并突破那堵墙。”Gourley 说。“这不仅仅是几个孩子。这是一个资源充足、由国家赞助的组织。这是第一次,真的,一个民族国家这样做。”

调查人员发现,当 Moonlight Maze(月光迷宫)黑客——联邦调查局给他们的代号——从受害者的系统中窃取数据时,他们使用了一种名为 Loki2 的工具的定制版本,并且多年来不断调整这段代码。2016 年,包括 Rid 和 Guerrero-Saade 在内的一组研究人员将引用该工具及其演变作为Moonlight Maze(月光迷宫)实际上是 Turla 祖先的作品的证据:他们指出 Turla 的黑客使用独特的、类似定制的案例二十年后,Loki2 的版本完全针对基于 Linux 系统。

2008:Agent.btz

Moonlight Maze(月光迷宫)十年后,Turla 再次震惊了国防部。美国国家安全局在 2008 年发现,一种恶意软件正在从美国国防部美国中央司令部的机密网络内部发出信号。该网络是物理隔离网,并没有连接到互联网的网络。然而有人用一段自我传播的恶意代码感染了它,该代码已经将自己复制到无数台机器上,在美国系统上从未见过这样的情况。

美国国家安全局开始相信,该代码(后来被芬兰网络安全公司 F-Secure 的研究人员命名为 Agent.btz)是从有人插入隔离网络上的 PC 的 USB 驱动器传播的。受感染的 U 盘究竟是如何落入国防部员工手中并侵入美国军方的数字内部密室的,一些分析人士推测,它们可能只是散落在停车场,被毫无戒心的员工捡起。

Agent.btz 对五角大楼网络的破坏非常普遍,以至于引发了一项名为 Buckshot Yankee 的多年计划,旨在改造美国军事网络安全。它还导致了美国网络司令部的创建,这是美国国家安全局的姊妹组织,负责保护国防部网络,如今该网络也是该国最注重网络战争的黑客大本营。

多年后的 2014 年,俄罗斯网络安全公司 Kaspersky 的研究人员指出Agent.btz 与后来被称为 Snake 的 Turla 恶意软件之间存在技术联系。间谍恶意软件——卡巴斯基当时称之为 Uroburos,或简称为 Turla——使用与 Agent.btz 相同的日志文件文件名和一些相同的加密私钥,这个臭名昭著的 USB 蠕虫的第一条关联线索是 Turla 的创作。

2015 年:卫星指挥与控制

到 2010 年代中期,Turla 已经入侵了全球数十个国家/地区的计算机网络,通常会在受害者的计算机上留下 Snake 恶意软件的一个版本。它在 2014 年被发现使用“水坑”攻击,在网站上植入恶意软件,目的是感染访问者。但在 2015 年,卡巴斯基的研究人员发现了一种 Turla 技术,该技术将进一步巩固该组织在复杂和隐秘方面的声誉:劫持卫星通信,从本质上通过外层空间窃取受害者的数据。

同年 9 月,卡巴斯基研究员 Stefan Tanase 透露,Turla 的恶意软件通过劫持卫星互联网连接与其命令和控制服务器(安全厂商的报告中,常简写为 C2 服务器或C&C服务器,向受感染计算机发送命令并接收被盗数据的机器)进行通信。

正如 Tanase 所描述的那样,Turla 的黑客会在与该订户位于同一地区某处的C2服务器上伪造真正的卫星互联网订户的 IP 地址。然后,他们会将窃取的数据从被黑客入侵的计算机发送到该 IP,以便通过卫星将其发送给订户,但采用的方式会导致其被接收方的防火墙阻止。

由于卫星从天空向整个地区广播数据,然而,连接到 Turla 的C2服务器的天线也能够接收到它——跟踪 Turla 的人无法知道该计算机在何处。根据 Tanase 的说法,整个非常难以追踪的系统每年的运行成本不到 1,000 美元。他在博客文章中将其描述为“精致”。

2019:搭讪伊朗

许多黑客使用“虚假标记”(又称“假旗”行动),部署另一个黑客组织的工具或技术来阻止调查人员追踪他们的踪迹。2019 年,美国国家安全局、网络安全和基础设施安全局 (CISA) 和英国国家网络安全中心警告说,Turla 走得更远:它悄悄接管了另一个黑客组织的基础设施,以征用他们的整个间谍活动。

在一份联合咨询中,美国和英国机构透露,他们看到 Turla 不仅部署了一个被称为 APT34(或 Oilrig)的伊朗组织使用的恶意软件来制造混乱,而且 Turla 还设法劫持了C2-在某些情况下控制伊朗人,具备拦截伊朗黑客窃取的数据的能力,甚至将他们自己的命令发送到伊朗人入侵的受害计算机。

这些技巧显着提高了分析师将任何入侵归咎于特定黑客群体的门槛,而实际上 Turla 或类似狡猾的组织可能一直在暗中操纵傀儡线。“在检查似乎源自伊朗 APT 的活动时保持警惕,避免可能的错误归因。”CISA 咨询当时警告说:“这可能是伪装的 Turla 集团。”

2022 年:劫持僵尸网络

网络安全公司Mandiant今年早些时候报告说,它发现 Turla 执行了该黑客劫持技巧的不同变体,这次接管了网络犯罪僵尸网络以筛选其受害者。

2022 年 9 月,Mandiant 发现乌克兰网络上的一名用户将 USB 驱动器插入他们的机器,并感染了名为 Andromeda 的恶意软件,这是一种已有十年历史的银行木马。但当 Mandiant 更仔细地观察时,他们发现该恶意软件随后下载并安装了 Mandiant 之前与 Turla 绑定的两个工具。Mandiant 发现,俄罗斯间谍注册了 Andromeda 最初的网络犯罪管理员用来控制其恶意软件的过期域,获得了控制这些感染的能力,然后在数百个域中搜索可能对间谍活动感兴趣的域。

这个聪明的黑客具有 Turla 的所有特征:使用 USB 驱动器感染受害者,就像它在 2008 年对 Agent.btz 所做的那样,但现在结合了劫持不同黑客组织的 USB 恶意软件以夺取他们控制权的技巧,如几年前,Turla 就与伊朗黑客打过交道。但卡巴斯基的研究人员仍然警告说,在乌克兰网络上发现的两个工具,Mandiant 曾使用这些工具将行动与 Turla 联系起来,实际上可能是另一个名为 Tomiris 的组织的标志——也许是 Turla 与另一个俄罗斯国家集团共享工具的标志,或者它现在正在演变为多个黑客团队。

2023 年:被斩首全歼

上周,联邦调查局宣布对 Turla 进行反击。通过利用 Turla 的 Snake 恶意软件中使用的加密弱点和 FBI 从受感染机器研究的代码残余,该局宣布它不仅学会了识别感染 Snake 的计算机,而且还向那些机器发送命令,恶意软件会将其解释为删除自身的指令。

使用它开发的工具 Perseus,它已经从世界各地的受害者机器上清除了 Snake。与 CISA 一起,FBI 还发布了一份公告(https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-129a),详细说明了 Turla 的 Snake 如何通过其自己的 HTTP 和 TCP 协议版本发送数据,以隐藏其与其他受 Snake 感染的机器和 Turla 的C2服务器的通信。

这种中断无疑会毁掉 Turla 黑客多年的工作,他们早在 2003 年就开始使用 Snake 从世界各地的受害者那里窃取数据,甚至在五角大楼发现 Agent.btz 之前。该恶意软件能够在对等网络中的受害者之间秘密发送隐蔽数据,这使其成为 Turla 间谍活动的关键工具。

但没有人应该自欺欺人地认为,拆除 Snake 网络——即使可以完全根除恶意软件——也意味着俄罗斯最具弹性的黑客组织之一的终结。“这是最好的APT组织之一,在我看来,猫捉老鼠的游戏毫无疑问还在继续。”约翰霍普金斯大学的Rid说。“他们比其他任何人都拥有不断发展的历史。当你了解他们的行动、战术和技术时,他们会进化和重组,并试图再次变得更加隐秘。这是从 1990 年代开始的历史模式。”

“对他们来说,你的时间表中的那些差距是一个特点。”Rid 补充道,Turla 的黑客技术在新闻报道和安全研究人员的论文中没有出现的时间长达数年。

至于 25 年前作为情报官在Moonlight Maze(月光迷宫)中追捕Turla的Gourley,他对联邦调查局的行动表示赞赏。但他也警告说,杀死一些 Snake 感染者与击败俄罗斯最古老的网络间谍团队是截然不同的。“这是一个无限游戏。如果他们还没有回到那些系统中,他们很快就会回来。”Gourley 说。“他们不会消失。这不是网络间谍历史的终结。他们一定会,一定会回来的。”

参考链接:https://www.wired.com/story/turla-history-russia-fsb-hackers/

本文出处: https://www.toutiao.com/article/7235471948380193341/
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部