提示:點擊上方"藍色字體"↑ 可以訂閱噢!
四大傳奇-中國網絡黑客組織(The Legend Four—Chinese Cyber Hacking Groups) 2013 年的網絡空間被一種新型概念主宰-高級可持續性威脅—也就當前網上出鏡率很高的APT。而極具諷刺意義的是,中國黑客幾乎2013年的網絡空間被一種新型概念主宰-高級可持續性威脅—也就當前網上出鏡率很高的「APT」。而極具諷刺意義的是,中國黑客幾乎成為了所有APT的代名詞,人們也開始紛紛研究和猜測這些神秘黑客組織的來源於構成。自年初以來,各大媒體和安全公司不斷爆出與中國有關的黑客組織和網絡攻擊活動,其中最傳奇的四個APT要數:
曼迪昂特揭露的APT1;
卡巴斯基公司曝光的「Icefog」;
賽門鐵克公司曝光的「隱匿山貓」;
紐約時報公布的APT12。
美國政府和安全公司均試圖將這「四大傳奇」黑客組織與中國政府和軍隊聯繫起來,而中國官方卻始終重申與這些組織毫無關係。大量的媒體報導、美中之間的博弈、接近於現實的間諜活動以及近似於科幻的故事情節,這一切都吸引了無數網民的眼球,引發了公眾對黑客組織幕後指使者的猜測。小編覺得大伙兒不應去探究四大傳奇究竟是否與中國政府有關,本文目的是帶領廣大網絡安全愛好者回顧一下這四大黑客傳奇(傳說),從他們的背景、攻擊對象和攻擊手段等角度比較和研究,能有所收穫。
NO.1 APT1—黑客組織中的「大哥大」
知名度:★★★★★
攻擊技巧:★★★★
攻擊範圍:★★★★
曝光單位:曼迪昂特
1.背景介紹
APT1,特指解放軍總參三部二局(61398部隊)。曼迪昂特指出,APT1可能是中國政府資助的一個最持久的執行者;它是20多個來自中國的APT組的其中一組,其成員至少從2006年起就對廣泛的受害者進行了網絡間諜活動,在七年內攻擊了全球150多個單位。下面我們可以通過一張組織結構圖來了解61398部隊在中國軍隊中的地位,可以毫不謙虛地講,APT1應該是中國黑客組織中的「大哥大」。
2.竊密對象APT1
所瞄準的大多是以英語為主要工作語言的機構。APT1受害機構中整整87%總部設在以英語為母語的國家,其中115 家在美國,7家在加拿大與英國。剩下的19個受害者,17 家以英語為主要工作語言。APT1從受害機構盜取數據的範圍很廣。他們所盜取的數據類型有:·產品開發及應用,包括測試結果資料、系統設計、產品手冊、構件清單、以及相關模擬技術;
·製造工藝,例如專有生產過程描述、標準以及排放管理程序;
·商業計劃,例如合同談判立場定位與產品報價、法律事件、兼併、合資、收購等;
·政策定位與分析,例如白皮書、涉及高層人員的會議議程與紀要;
·高層僱員的電子郵件;
·用戶密碼以及網絡架構資料。
3.攻擊手法
第一步,通過發送魚叉式釣魚郵件引誘對方點擊附件,一旦有人打開就裝上後門軟體。第二部,在通信過程中,使用HTTP之外其他一些協議來模仿合法的網際網路數據流,從而達到隱藏通訊的目的。第三部,利用公開的工具軟體來竊取被侵入系統的密碼哈希值,以獲取合法用戶的密碼,從而提升權限。第四部,利用工具進行系統和網絡環境偵查活動,展開內部偵查,獲取更多有價值信息。第五部,通過安裝後門、獲取憑證和登錄門戶網站等措施維持陣地,保障從外部持續、長期對侵入網絡環境裡關鍵系統的控制。第六步,在網絡中尋竊取機密文件,壓縮打包,利用FTP進行傳輸。
NO.2 Icefog(冰霧)—打響網絡戰中的「遊擊戰」
知名度:★★★★
攻擊技巧:★★★★
攻擊範圍:★★★
曝光單位:卡巴斯基
1.背景介紹
「Icefog」又是一個據稱有中國背景的APT黑客組織,其活動追溯至2011年,攻擊對象主要為日本和韓國。受害單位組合主要包括政府機構、軍隊承包商、海洋和造船公司、電信運營商、業界和高技術公司以及主流媒體。該組織目的性非常明確,擅長「遊擊戰」(H&R),在獲取機密信息之後會立即撤離,不留任何痕跡。由於卡巴斯基並沒有直接拿出該組織與中國政府或軍隊有關的證據,因此並沒有引起國內外媒體廣泛關注。但從黑客行為、使用的工具以及攻擊手段分析,不得不說與「中國」能夠扯上關係。
2.竊密對象
卡巴斯基研究人員指出,Icefog的攻擊目標主要位於韓國與日本。受到攻擊的單位有韓國防工業承包商Lig Nex1以及Selectron公司,大宇造船公司(DSME Tech),韓進重工(Hanjin Heavy Industries),電信運營商韓國電信(Korea Telecom,),媒體公司富士電視(Fuji TV)以及日中經濟協會。
3.攻擊手法
Icefog攻擊主要手段與APT1類似,主要是基於office、java漏洞的郵件和網頁釣魚,並結合社會工程學,對目標進行有組織、有目的和有規劃的網絡攻擊。其中需要注意的是,該組織擁有大量MacOSX系統的漏洞庫,而現在安全公司和大部分安全軟體對MacOSX系統應用軟體的漏洞監測並不到位,因此使用MacOSX系統的個人和組織應尤其注意。
NO.3 「隱匿山貓」(Hidden Lynx)—躲在隱形鬥篷下的貓
知名度: ★★★
攻擊技巧:★★★★★
攻擊範圍: ★★★★
曝光單位:賽門鐵克
1.背景介紹
「隱匿山貓」組織是一支具有先進網絡能力的專業黑客組織。他們曾經在水坑式釣魚攻擊中(watering hole)突破了Bit9用於標記惡意軟體的數字籤名。該組織採用「僱傭黑客作戰」的方式,對廣泛的政府和公司展開攻擊。該組織能夠在同一時間發動多線攻擊,利用最先進的攻擊技巧入侵世界上防護最堅固的單位,同時還能在短時間內改變戰術從而實現既定目標。針對不同的目標他們會研究不同的木馬,Backdoor.Moudoor被用做攻擊大型公司,而Trojan.Naid則是攻擊高價值目標時所用。該組織參與了2009年針對美國Google、Adobe等大型公司發起的網絡攻擊行動—「極光行動」(Operation Aurora)。
2.竊密對象
2011年11月以來,全世界上百個組織聲稱遭到了「隱匿山貓」的攻擊。該組織攻擊範圍從商業機構到各級政府,排名前十的領域為:金融、教育、政府、信息、醫療、工程、法律、媒體、非政府組織和國防企業。受到影響的國家有美國(52.78%)、臺灣(15.53%)、中國(9%)、香港、日本、加拿大、德國、俄羅斯等。·商業機密—該組織擅長攻擊銀行金融監管機構和商業組織,從中竊取機密信息,為涉及收購、股票交易的談判提供重要情報參考。·科技機密—該組織還擅長攻擊政府承包商,從中獲取最新科學技術,以填補本國與外國之間的科技差距。
3.攻擊手法
「隱匿山貓」主要攻擊方式也是通過漏洞安裝木馬,但其使用的木馬——Backdoor.Moudoor、Trojan.Naid、Backdoor.Vasport、Backdoor.Boda和Trojan.Hydraq可以說是「四大傳奇」中技術含量最高的,而且在改變傳統魚叉式攻擊轉向「水坑式」攻擊上,該組織也取得了成功。
NO.4 APT12—神出鬼沒的「卡爾克」(Calc)
知名度:★★★★★
攻擊技巧:★★★
攻擊範圍: ★★★★★
曝光單位:紐約時報
1.背景介紹
談到APT12,自然會讓人聯想到與中國軍方有關聯的APT1,而且曼迪昂特一份報告中也指出,「中國有20個類似APT1的黑客組織」,APT12自然就是其中之一。自2012年10月《紐約時報》報導中國高官家族聚斂巨額財富的新聞之後,它的計算機系統遭到了中國黑客長達4個月的攻擊,黑客入侵了系統竊取了新聞記者和僱員的密碼,這一黑客組織被定義為APT12(Calc Team)。在沉寂了幾個月之後,根據安全公司FireEye發布的報告,APT 12再度活躍,攻擊者還更新了他們使用的來自Backdoor.APT.Aumlib和Backdoor.APT.Ixeshe惡意程序家族的黑客工具;時隔不久,這一組織又再次對俄羅斯G20峰會成員國發起的大量攻擊,歐盟、俄羅斯、韓國等重要經濟體的財政和金融部門都遭到了不同程度的攻擊。
2.竊密對象
根據該組織歷史攻擊記錄來看,其攻擊目標主要為社交媒體、美臺政府機構、大型公司和國防承包商。從這些目標中我們可以分析出,該組織主要是為了獲取政府敏感文件、世界頂級科技以及經濟類情報。3.攻擊手法與上述三個黑客組織所用的方法有所不同的是,APT12擅長利用Dropbox等雲存儲工具開展攻擊。攻擊者通過註冊一個攻擊對象可能熟悉的Dropbox帳號,並在空間裡上傳綁定了木馬的合法文件,通過Dropbox自帶的郵件發送功能向受害者發送分享連結,引誘對方下載點擊。
綜合各大安全公司的分析,APT12攻擊流程可分為以下幾步。
第一步,搜集攻擊對象信息,發現與其聯繫密切的人員。
第二步,用搜集到的人員信息註冊Dropbox(早先版本的Dropbox不需要郵件驗證,因此可以利用任何偽造郵箱註冊)
第三部,製作木馬,將其連接綁定在wordpress等社交平臺的博客之中,再利用博客設置轉發數據。
第四步,找出一份可能在上述兩者之間流通的合法pdf文檔,綁定木馬。
第五部,壓縮PDF為ZIP格式從而繞過殺軟查殺,上傳至Dropbox。
第六步,利用Dropbox郵件分享功能發送給攻擊對象,等待對方點擊。
想認識志同道合的朋友一起學習web
加入我們的學習QQ群 19066743
豐富的學習資源,周一到周四免費直播公開課
▶蘋果20年變遷史……hot! (回復R004)
▶視覺衝擊!有哪些完美利用色彩衝突的優秀網站?hot!(回復R006)
▶千萬別學這七個讓人抓狂的網頁設計hot!(回復R016)
掃描訂閱,回復關鍵詞即可查看
長按二維碼訂閱《Web網頁設計自學平臺》
↓↓↓