揭秘:和中國過不去的頂級網絡間諜「索倫之眼」

2021-02-13 鯨犀

電影指環王中,失去肉身的魔王索倫幻化成了一隻魔眼,與魔戒相通,擁有著可以毀滅一切的力量。

2015年9月,卡巴斯基實驗室在其反針對性攻擊平臺標記出了某個政府客戶網絡中的異常流量特徵,經過分析後發現,有一個可疑的執行文件正在加載主機伺服器中的內存。這個執行文件像是Windows密碼過濾器一樣,可以獲得所有明文管理密碼在內的所有敏感數據。

2016年8月中旬,賽門鐵克和卡巴斯基實驗室相繼發布報告稱,追蹤到一個名為索倫之眼的網絡間諜平臺。經過對比分析,360的追日團隊也確認,與其獨立截獲的境外APT組織APT-C-16為同一組織。該組織專門針對俄羅斯、中國、比利時、伊朗、瑞典等國家發動高級持續性攻擊,即APT。

截止報告發出前,360威脅情報中心共發現國內有數十個被影響的單位機構,涉及多個行業,其中科研教育、軍事和基礎設施領域,水利、海洋等行業最多。

據卡巴斯基實驗室介紹,這個黑客組織自2010年起就開始活動,原名為「行客」(Strider)。之所以把他們命名為索倫之眼(ProjectSauron)是因在分析追蹤的文件時,發現代碼中帶有Sauron字符。進一步分析後發現,索倫之眼並不僅僅是一個黑客組織,而是一個擁有精密技術的頂級間諜模型平臺。

索倫之眼的主要攻擊任務就是獲取加密的通訊信息。攻擊者使用一種整合了大量不同工具和技術的高級模塊化的網絡間諜平臺,並可以讓長期從事間諜活動的黑客隨心所欲的利用上面的工具。平臺上使用的攻擊策略主要有以下特點:

在進攻時針對每個特定的目標定製植入程序和基礎設施;

從不循環使用攻擊工具;

通常都是對目標網絡進行秘密和長期的間諜行動。

從卡巴斯基實驗室的報告中,可以發現索倫之眼行動所使用的攻擊工具和技巧如下:

獨特的數字足跡:核心植入程序具有不同的文件名和體積,並且針對每個目標特別定製——這使得其很難被檢測,因為某個目標感染痕跡對其他目標來說幾乎沒有任何價值。

運行於內存中:核心植入程序會利用合法軟體的升級腳本,以後門程序的形式在內存中運行,接收攻擊者的指令,下載最新模塊或執行命令。

偏好加密通訊:索倫之眼會積極搜索非常罕見的定製網絡加密軟體的相關信息。這種伺服器端/客戶端軟體被很多目標企業廣泛用於安全通訊、語言通訊、電子郵件傳輸和文檔交換。攻擊者對於加密軟體組件、密匙和配置文件頗感興趣,此外還會收集在節點之間中繼加密信息的伺服器的地理位置。

基於腳本的靈活性:索倫之眼部署了一系列由高水準LUA腳本精心編排的低水準工具。在惡意軟體中使用LUA組件,這種組件非常罕見,之前僅在Flame和Animal Farm攻擊中出現過。

繞過隔離網閘:索倫之眼使用特別定製的優盤繞過隔離網閘。這些優盤包含隱藏空間,用戶保存和隱藏竊取到的數據。

多種數據竊取機制:索倫之眼部署了多個竊取數據的途徑,包括合法渠道如電子郵件和DNS,將從受害者竊取到的信息偽裝成日常通訊流量。

索倫之眼幕後的黑客團夥都是經驗豐富的傳統攻擊者,並且曾花費過大量精力學習其他頂級黑客組織的攻擊技術,包括震網病毒的姊妹病毒(Duqu)、火焰病毒(Flame)、方程式組織(Equation)和高級惡意軟體Regin。這些黑客團夥在吸收了這些攻擊中最具創新的技術的同時,也吸取其被發現的教訓,不斷改善攻擊策略,有意刪除容易被監測的組件,確保其不易被發現。

卡巴斯基實驗室的安全專家介紹說,通常這種APT攻擊都具有十分明確的攻擊目的,即針對一個特定區域或某個特定的行業提取信息,在進行攻擊時,通常會導致一個區域內的幾個國家被感染,或是同行業的企業被感染。但索倫之眼似乎只是針對一些特定的國家進行攻擊活動,並專注於收集這幾個國家中任何企業、政府部門或個人的有重要價值的情報。

截止至報告發出前,卡巴斯基實驗室共發現了30多個已經被這個惡意軟體感染的網站,其中包括一家中國航空公司、比利時的一處大使館以及瑞典一家企業。根據卡巴斯基實驗室的分析,受攻擊組織通常在提供政府服務中扮演重要角色,這些組織包括:

除了這些政府機構與企業,他們還在公用網絡中各種開後門,針對個人進行鍵盤監聽、竊取用戶憑證或密碼等個人隱私信息。

經過取證分析後,卡巴斯基實驗室得出結論:

這種攻擊行動的成本、複雜性、持續性以及以竊取同政府有關的敏感和機密信息為最終目標等特徵都表明,索倫之眼得到了政府的支持,或者政府有所參與。

卡巴斯基實驗室首席安全研究員 Vitaly Kamluk說,現在有很多依靠低成本現成工具的針對性攻擊,而索倫之眼則不同,這種攻擊行動主要依靠自製的受信任的工具以及定製的腳本代碼。且只使用控制伺服器、加密密匙等獨特的指標,或借鑑其他威脅組織的領先技術,這種攻擊手法很新穎。 

Vitaly Kamluk表示,要抵禦這種威脅的唯一手段,就是部署多層級的安全防護,通過大量的傳感器監測組織流程中出現的異常,同時藉助於威脅情報服務和取證分析查找固定的攻擊模式,儘管這種攻擊不會留下明顯的攻擊模式特徵。

宅客『Letshome』

雷鋒網旗下業界報導公眾號。

專注先鋒科技領域,講述黑客背後的故事。

相關焦點

  • 夜空中最大的眼—索倫之眼
    人們想到北落師門b具有恐怖一面的僅是它的灰塵雲看上去頗似「索倫之眼」,索倫之眼在科幻電影《魔戒三部曲》中充滿著可怕的魔幻力量。但事實上這顆行星的神秘之處遠不止於此。近期一項最新研究顯示北落師門B行星像是一個幽靈,其離奇特徵與系外行星並不相符。
  • 相由心生:索倫之眼(二)
    再來看一下徽章的背面,一個沒有塔尖的金字塔,上面有一個全視之眼,有人說這個設計和共濟會有關,有人說這個是上帝之眼,總而言之眾說紛紜。據說全視之眼的概念,最早應當來源於古埃及的荷魯斯之眼。荷魯斯是鷹頭神與太陽神的化身,荷魯斯之眼被認為是能洞察世間萬物的「神聖之眼」。柏拉圖在著作《共和國》中強調「全視眼」的神奇:它勝過一萬隻肉眼,只有透過這裡,就能看見真理。但是白雕這一生的所作所為,看不出他在追求什麼真理,白雕對柏拉圖的理想之國嗤之以鼻,所以這不可能是全視之眼。
  • DNF瘋魔索倫獲得方法
    18183首頁 DNF瘋魔索倫獲得方法 DNF瘋魔索倫獲得方法 來源:網絡 作者:蘭斯級一號艦
  • 臺灣間諜和缺位的叛國罪
    間諜這個詞,在近幾年開始從電視屏幕走進現實,不斷進入我們的視線。在改革開放後的三十年裡,因為安全和平的環境以及我國在立法和宣傳上的缺位,以至於許多人都快淡忘了,還有這麼一批人,仍在試圖顛覆我們的國家和政權。在新中國建立之後,這樣的活動就從來沒有停止過。其他國家的間諜情報機構以交流、學習等等藉口為名,秘密派遣人員到中國,從事以竊密為主的各種非法諜報活動其實是一種常態。
  • 中國網絡巨頭立大功,挖出「網絡間諜」,厲害了!
    奇虎360不愧是網絡安全公司:發現自大美間諜行為說到這件事情的時候,奇虎360的創始人周鴻偉還帶著幾分自豪,她在國內科技大會上表示,360之所以進入實體清單,就是因為他們發現了自大美的一些網絡間諜行為。
  • 美國威脅全球安全「七宗罪」之六:實施網絡監控 破壞全球數據安全
    多年來,美國在全世界肆無忌憚地搞監聽與網絡監控,把虛擬的「大洋國」變成現實。以「國家利益」為幌子,美國濫用其技術優勢,違反國際法和國際關係基本準則,無視基本道德信義,其所作所為恐怕連奧威爾筆下的「監聽帝國」都自嘆不如。事實上,美國是這個星球上最大的、名副其實的「黑客帝國」。長期以來,美國政府有關機構對外國政府、企業和個人實施大規模、有組織、無差別的網絡竊密、監控和攻擊。
  • 星太奇:《指環王》中的索倫很強?星太奇只用十塊錢就將其打敗!
    該電影講述在奇幻的中土大陸上,為了阻止魔王索倫的入侵,護戒隊歷經千辛萬苦摧毀魔戒打敗索倫的故事。《指環王》中的魔王索倫有多強?星太奇卻只用了十塊錢就將其打敗了。星太奇是怎麼做到的呢?高聳的石塔上鑲嵌著一隻巨大的眼球,這是索倫之眼,野心勃勃地俯瞰著整個幻古大陸。索倫建立起了一支龐大的魔兵四處侵略,整個大陸硝煙四起,生靈塗炭。
  • 揭秘潛伏在中國核心的間諜:李登輝失口曝光
    學習貫徹《反間諜法》 共同維護國家安全  近期,我國媒體連續披露兩起普通公民被外國間諜拉攏、策反的案件,讓人扼腕痛惜之餘,不禁驚呼:小心!間諜就在身邊!  一、運十下馬  據披露,1979年在運十即將成功之際,美國麥道公司在某位國民黨高級將領之子、美籍華人張鎮中(現GC3國際創投管理公司董事長兼總裁,曾任香港衛視集團前任董事會主席、和麥道公司副總裁)的建議操縱之下,通過中共高層,進而遊說最高決策者,同時遊說主管民機工業的三機部和民航,希望與中國合作生產麥道的MD82飛機。
  • 魔戒三部曲,詳細解說魔王索倫和他的至尊魔戒
    在第一紀元的末期,維拉和魔苟斯進行了最終的"憤怒之戰",魔苟斯也由此被流放到了無盡的虛空之中,但是作為魔苟斯最大的爪牙,魔王索倫迎來了自己對中土世界的統治。  索倫化身成為一個普通人來到精靈王國,自稱為安納塔,說自己是維拉的使者,精靈並不信任他,但是索倫教給了精靈鍛造技術(前面說了索倫一開始是在奧利的手下工作,奧利是矮人創造者,精通鍛造。),並且在精靈的幫助下打造了19枚力量之戒,這就是19枚魔戒的由來。
  • 2019年度天文攝影師獎決選作品 「索倫之眼」上榜
    這一次的決選作品涉及到天文攝影的方方面面,其中一幅作品展示了不可思議的星雲景象,酷似《指環王》中的索倫之眼。本屆賽事的頒獎典禮將於9月中旬舉行。Insight投資2019年年度天文攝影師獎攝影比賽由擁有近400年歷史的格林威治皇家天文臺舉辦,已經進入第11個年頭。日前,組織方公布了2019年賽事的決選名單。
  • 索倫之口------一個《指環王》電影中不曾出場的大惡棍
    索隆之口戴著一頂僅露出嘴部的黑色頭盔,其上銘刻奇爾斯字母LAMMEN GORTHAUR (辛達語,意為戈沙烏爾之聲)。他的嘴部病態畸形,令人作嘔。他的坐騎是一匹形似黑馬的生物,其個頭巨大、形貌醜惡,罩著恐怖的面具,頭部宛如骷髏,眼窩和鼻孔中都冒著火焰。
  • 《指環王》歷史真相,甘道夫和索倫是同級別神仙
    《指環王》和「偽前傳」《霍比特人》都是發生在第三紀元;第二紀元則是索倫的崛起與敗亡;第一紀元則是有關於索倫的導師——初代魔王魔苟斯。再往前還有神明們創造世界的各種紀,雙樹紀,巨燈紀。很多很多,都是連《魔戒》都沒有說明的事情。了解這些前史才會明白,魔戒聖戰並不是族群之間的戰爭,實際上這場鬥爭要追溯到宇宙的起源。
  • 《DNF》洞察之眼被深淵蠶食的聖殿赤鬼索倫打法攻略
    DNF洞察之眼困難模式赤鬼索倫怎麼打?DNF洞察之眼被深淵蠶食的聖殿的怪物的機制有所不同,赤鬼索倫在困難模式下新增了一些機制,以此提高難度,不知道困難模式下的赤鬼索倫怎麼打的玩家,下面小編帶來了DNF洞察之眼被深淵蠶食的聖殿赤鬼索倫打法攻略,一起來看看吧。
  • DNF:15萬攻驅魔打出3.2萬億傷害,一斧秒殺三權索倫,真幻神職業
    而今,驅魔這個職業比起其他職業完全沒有優勢可言,100級版本面板沒有5000以上的,洞察之眼副本都難組進去。不過這些都是針對一般玩家而言的,對於土豪玩家來說,沒有驅魔一斧子解決不了的事,下面我們就一起看看頂級驅魔玩家的傷害吧。
  • 袁弘張歆藝大婚地霍亨索倫城堡
    袁弘張歆藝要大婚的德國城堡霍亨索倫城堡是啥子樣的城堡?   霍亨索倫城堡(德語:Burg Hohenzollern)位於德國巴登-符騰堡州,與巴伐利亞州的新天鵝堡並稱為德國南部的兩大城堡,是普魯士王國和德意志第二帝國的統治家族——霍亨索倫家族的發祥地。原建於11世紀,現存的城堡是1850年至1867年間重建的。
  • 索倫為何要打造一枚至尊魔戒
    至尊魔戒可以賦予索倫支配別人意志和思想的能力。當索倫幫助伊瑞詹的精靈打造力量之戒時。他把至尊魔戒和其他的戒指綁定在一起。所以索倫可以通過至尊魔戒可以閱讀持戒者的思想,並控制他們的行為。但是索倫還是利用至尊魔戒的力量控制了人類的國王和強大的巫師。力量之戒對人心智的影響並不僅僅局限於持戒者本身,在努曼諾爾,索倫就利用了它。扭轉了人們的信仰和行為,從而導致了強大的努門諾爾王朝的滅亡。
  • 浪漫與莊嚴——霍亨索倫城堡
    拖了整整一個學期,本周末小編終於搭上了去往霍亨索倫城堡——也就是二姐張歆藝和十三爺袁弘的大婚地的列車。
  • 看《楚喬傳》揭秘古代的間諜組織
    這種間諜是平民百姓,負責搜集敵方下層的情報。內間:「因其官人而用之」,用敵國的官員為間諜。這種間諜負責搜集敵方上層的情報。反間:「因其敵間而用之」,收買敵國的間諜,為我所用。三十六計中的「反間計」是指挑撥離間,利用矛盾、製造矛盾,讓敵人自相猜疑,引發內訌。二者不一樣。
  • 澳大利亞安全情報部門長期在中國從事間諜活動,趙立堅:奉勸澳方...
    經濟日報-中國經濟網北京6月29日訊 「外交部發言人辦公室」消息,在今日外交部例行記者會上,有記者就「澳大利亞安全情報部門長期在中國從事間諜活動」進行有關提問,外交部發言人趙立堅表示,澳大利亞作為「五眼聯盟」重要成員,一貫熱衷在有關國家開展間諜情報活動。
  • 袁弘張歆藝婚禮之後,霍亨索倫城堡還有更精彩的呢!
    今天,德國最雄偉的城堡之一──霍亨索倫城堡見證了「十三阿哥」和「二姐」的幸福。