剑客
关注科技互联网

旧文:世界第一APT组织"方程式",被黑了!

旧文:世界第一APT组织"方程式",被黑了!

引言:这是方程式被爆后第二天写的文章,但因为文章写的不够细致,自己有很多疑问都没有解决,所以一直放到草稿箱里。分析方程式的文章一批接着一批,能扒的被扒的差不多了,也没动力修改原文章了。就这么贴出来吧,聊做记录

Update:所谓的影子经纪人已经被抓,50多岁的一个同志,是斯诺登的朋友。之前很多人猜测是不是跟黑希拉里和民主党是一拨人,不是。FBI是对的,果然是内部人做的。所属公司是美国网络军火的承包商。那129m的未公开内容再也拿不到了。

一、事件起因

8月13日, Pastbin.com 上一个自称Theshadowbrokers的账号公布了一个重磅信息:该团队跟踪并渗入著名APT组织“方程式组织”的服务器,并通过GitHub和多个渠道向公众释放出大量内部文档和利用工具。

“方程式组织”这个被称为是世界上最神秘最强大的黑客组织被黑,是继意大利黑客组织HackingTeam被黑之后的另一起重磅炸弹,其影响范围可能比HackingTeam更广泛更深远。

通过分析GitHub的上Theshadowbrokers的帐号,我们发现该帐号在8月6日就已经注册完成,8月13日才与 Pastbin.com 同步发布文件,该帐号在GitHub上注册帐号使用的信箱是 userll6gcwaknz@tutanota.comtutanota.com 信箱主打安全牌,服务器端基于 Node.js 开发,推出开源的端到端的Email加密客户端产品。

二、“方程式组织”是谁?做过什么?

虽然目前还没有确凿证据指明方程式组织背后主谋,但普遍认为该组织隶属于美国国家安全局(NSA)。

仅通过目前已知的资料,该组织已经活跃了20年之久,有证据显示从2010年6月被发现目标是伊朗核设施的“震网攻击”、2011年10月被发现目标是工控系统DuQu渗透系统、2012年5月被发现目标是中东各国的Flame攻击、2015年6月被披露黑进卡巴斯基总部,到欧洲、北非的电信运营商、东南亚电子设备产商,中、英、印、瑞、俄、伊的企业都被方程式组织渗透过!

旧文:世界第一APT组织"方程式",被黑了!

不完全统计,受害者包括政府和外交机构、电信行业、航空行业、能源行业、核能研究机构、石油和天然气行业、军工行业、纳米技术行业、伊斯兰激进分子和学者、大众媒体、交通行业、金融机构以及加密技术开发企业等。耐人寻味的是,受害企业及有美国的对手(中国、俄罗斯),也有美国的伙伴和盟友(英国、欧洲各国)

旧文:世界第一APT组织"方程式",被黑了!

此次爆料之前,方程式组织的运作模式、技术特性、团队配合都是未知,而通过分析这次泄露的文档和工具,我们不仅可以一窥其实力,还可以发现前NSA叛逃雇员斯诺登数年前提到的很多NSA内部项目名称,都在这次泄露文件中出现,甚至还配有清晰明了的使用文档。

三、谁黑了“ 方程式组织?为什么?

此次事件的攻击者“The shadow brokers”号称通过监控流量监控方程式组织的活动,并最终渗透成功。

攻击者声称还有很多重磅消息未放出,希望以比特币的方式售卖,价格为一百万个比特币(约合五亿美金),攻击者鼓励“方程式组织”自己来竞拍,并且声称价高者得,不过到目前为止,汇款总数甚至没超过1个比特币。

攻击者对所谓重磅消息给出了两条线索:

  1. 方程式组织甚至还不知道他们到底丢了什么;
  2. 攻击者可能已经拿到了2010年用于震网攻击的源码和控制端;

实际上攻击者释放的235M文件中只有180多兆可以被解密读取,其余129M数据因没有解密密码而无法打开。

四、泄露 的“方程式组织”文件是什么?

主要是针对多加安全厂商硬件产品的漏洞利用工具、定制过的ROM和配置文件,涉及的安全厂家包括Juniper、WatchGuard、Huawei、NetScreen、Cisco、Fortinet、天融信等。

目录结构:

旧文:世界第一APT组织"方程式",被黑了!

有几个重要目录,我们需要关注:

4.1、BANANAGLEE 目录

根据之前泄露的NSA文件,我们可以了解BANANAGLEE项目到底是做什么的。

旧文:世界第一APT组织"方程式",被黑了!

请注意以上文档右下角的时间是2007年1月8日, 也就是说 在2007 年1 月BANANAGLEE 项目所使用的漏洞和利用技术已经成熟了。

4.2、Jetblow 目录

位于BANANAGLEE目录内:

./BANANAGLEE/BG2100/Install/LP/jetplow

./BANANAGLEE/BG2200/Install/LP/jetplow

Jetblow也是NSA内部项目名,见下图有详细的说明:

旧文:世界第一APT组织"方程式",被黑了!

4.3、TURBO 目录

TURBO里有一个名为PIT的子目录,再看一个NSA针对华为公司的叫HALLUXWATER的项目中

旧文:世界第一APT组织"方程式",被黑了!

TurboPanda Insertion Tool (PIT) 中的P anda代指 谁自然不言而喻,在Turbo的TX里面你也能看到一个叫Pandarock的文件,经过分析发现是针对华为设备的攻击模块

五、其它分析

由于此次泄露的文件中包含多个工具说明类文档,让我们可以进一步分析方程式组织结构和分工,我们可以了解到,这是一个分工明确、职责清晰,且针对目标长期跟踪的美国组织。

5.1、团队特征

特点一:美国俚语

泄露出来的文件命名很古怪,fosho是个美国俚语,意思是"For sure"。

旧文:世界第一APT组织"方程式",被黑了!

实际上,代码中还出现有几条深意的美国俚语,有感兴趣的看官可自行分析。

特点二:分工明确

有专门的开发团队,在注释中多次提到:

旧文:世界第一APT组织"方程式",被黑了!

特点三:持续追踪

攻击方法在不断改进, 在攻击FortiGate的exploit文档中的两个例子之间,时间间隔3年

旧文:世界第一APT组织"方程式",被黑了!

特点四:开发规范

从版本号可以看出,开发非常正规化:

旧文:世界第一APT组织"方程式",被黑了! 定义的错误码

旧文:世界第一APT组织"方程式",被黑了! 每个攻击包代码里都有一段描述:

旧文:世界第一APT组织"方程式",被黑了!

5.2、泄露的攻击工具能用么?

针对思科和天融信的多个exploit都可以使用。

2个思科漏洞分别是:

CVE-2016-6366,Cisco ASA SNMP 远程代码执行漏洞;

CVE-2016-6367,Cisco ASA CLI 远程代码执行漏洞;

六、写在最后……

这次泄露出来的“方程式组织”内部文档非常规范,所有的描述连接地址的地方都用<IP>或127.0.0.1来表示,但有一个地方泄露了一个IP:

旧文:世界第一APT组织&quot;方程式&quot;,被黑了! 这个IP在美国:

https:// x.threatbook.cn/ip/172. 10.10.151

旧文:世界第一APT组织&quot;方程式&quot;,被黑了! 通过扫描发现,该网段没有机器开放服务,但根据Zomeeye搜索发现:

https://www. zoomeye.org/search? q=172.10.10.151&t=host

旧文:世界第一APT组织&quot;方程式&quot;,被黑了! 而这个IP是电信的服务器:

旧文:世界第一APT组织&quot;方程式&quot;,被黑了! 访问这个 域名可以看到:

旧文:世界第一APT组织&quot;方程式&quot;,被黑了!

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址