剑客
关注科技互联网

APT攻击双城记:中国黑客干的?

*声明:出于研究参考目的,本文为ThreatConnect报告编译,文中涉及的观点和立场不代表本网站观点和立场。

APT攻击双城记:中国黑客干的?

这是最好的时代,这是最坏的时代。最近,俄罗斯对美国和其它国际组织开展的APT攻击占据新闻头条,而在聚光灯外,中国的APT攻击也异常活跃。2016年6月,中国APT组织对欧洲某无人机电子设备公司和法国某能源管理公司在美子公司进行了定向网络攻击,其中,法国某能源管理公司长期为美国政府和国防部开展基础设施建设,属于美国防承包商。由于涉及无人机技术和美国军方,这些攻击明显出于经济利益和军事情报目的。

利用 ThreatConnect 入侵模型,我们 围绕攻击使用的恶意软件进行分析,发现其中多个域名调用与2015年与中国相关的Anthem和OPM攻击事件相关。虽然利用现有证据, 无法准确归因到某个中国APT组织,但我们仍高度怀疑是中国国家支持黑客所为。

APT攻击双城记:中国黑客干的?

攻击技术:HttpBrowser后门

2016 年6月8日,我们捕获了MD5值为3BEA073FA50B62C561CEDD9619CD8425的恶意程序,该恶意程序为HttpBrowser后门变体,是 Emissary Panda (APT27/TG-3390)、 Dynamite Panda (APT18/Wekby/TG0416)等中国APT组织使用的攻击后门。也有一些调查报告把HttpBrowser后门称为Gtalk木马,根据 趋势科技的分析 ,HttpBrowser后门和其它RAT程序类似,在目标系统内生成一个反向连接控制进程,实现上传下载文件、键盘记录等功能。一些杀毒软件对HttpBrowser后门的检测率很低,仅能凭其启发式特征来发现识别。

HttpBrowser 后门存在多种变体,而在该样本中,通过网络流量包分析显示,User-Agent原本字段“HttpBrowser/1.0”被替换为“Mozilla/5.0 (Windows; U; Windows NT 5.2) Gecko/%lu Firefox/3.0.1”,其中%lu为格式修饰符,实现在User-Agent字段追加一个无符号长整型数据。

APT攻击双城记:中国黑客干的?

该恶意程序使用以下查询字段向远程C&C端发送受害者系统信息:

computer=<COMPUTER NAME>&lanip=<LANIP>&uid=<Unique ID>&os=<OS VERSION>&relay=<RELAYNUMBER>&data=<DATA>

攻击架构:域名adobesys[.]com和其它攻击使用的注册信息

利用ThreatConnect系统WHOIS查询功能,发现恶意程序回连域名adobesys[.]com的大量注册信息,如通过中国网络服务商注册,注册邮箱为li2384826402[@]yahoo[.]com,而该邮箱与2015年 攻击美国AnthemOPM 的APT组织DEEP PANDA高度关联,进一步为此次攻击事件提供了重要证据。

APT攻击双城记:中国黑客干的?

经分析,adobesys[.]com域名对应两个IP地址:173.231.11[.]24和185.92.222[.]81;攻击者使用的另一个域名newsoft2[.]com对应IP地址185.92.222[.]81,WHOIS信息显示,newsoft2[.]com通过中国地区网络利用邮箱omyname@gmail[.]com进行注册。攻击者利用newsoft2[.]com配合adobesys[.]com进行网络渗透活动。

攻击目标:两家公司

在该案例中,攻击者只关注小范围的特定目标。我们与合作伙伴通过网络流量分析和攻击域名监测发现,中国APT组织使用HttpBrowser后门,对欧洲某无人机设备公司的系统控制工程师发起了定向攻击,另外,美国国防部承包商的法国某能源管理公司在美分部也成为了这次攻击的目标,该公司长期为美方提供能源管理和SCADA系统解决方案。

在攻击发现后,我们及时通知了这两家攻击公司,但目前还暂时无法确定是否造成了数据泄露。

攻击者:老练的“熊猫”组织

虽然此次攻击手法与Emissary Panda和Dynamite Panda高度一致,但我们还不能确定攻击者具体属于哪支中国APT组织。Emissary Panda和Dynamite Panda都以 国防和航空航天领域为主要攻击目标 ,Emissary Panda也曾对能源领域开展过入侵攻击。根据 SecureWorks报告 ,Emissary Panda通常以挂马攻击、策略式网页攻击或水坑攻击为主要技术,针对特定组织机构人员实施定向渗透。另外,鱼叉式钓鱼邮件也是Emissary Panda使用的攻击手段。

社会-政治因素:攻击动机讨论

在2015年中美双方承诺遵守反对经济间谍的协议以来,HttpBrowser后门样本的出现可能让人们大失所望,虽然攻击目标为法国公司,但其中涉及美国利益,抑或者中国可以声称,这属于军事间谍范畴,并不违反去年中美协定。

相比之下,针对欧洲无人机设备公司的攻击就属于典型的经济间谍活动。虽然中国的大疆占据全球70%的民用无人机市场,但随着无人机商业经济的持续增长,可能不得不促使中国寻求与其它竞争对手抗衡的方法。无人机公司的系统控制工程师作为此次攻击的开始,如果进一步渗透,攻击者会获取更多无人机相关的知识产权、敏感资料和产品路线图等信息,之后,通过窃取资料,中国可以为其无人机企业获得更多经济优势:

整合竞争对手能力,缩小中国无人机技术差距

窃取竞争对手的技术创新,先于竞争对手实现产品

与竞争对手抢占金融市场或市场定价

了解竞争对手的商业和研究计划

经济间谍活动的演化?

近年来,虽然中国的网络经济间谍活动不太明显,但可以肯定的是这并没有结束,这些攻击活动可能已经演变成巩固其市场地位的方式存在。从某种程度上来说,巩固中国公司在国际市场上占据主导地位的方式,可能是其经济间谍活动的转向。 就像中国长期针对美国钢铁企业开展的APT攻击 一样,让其世界钢铁产量占比从 2000年的15%上升到了2015年的50%。

**参考来源: ThreatConnectFB小编clouds编译,转载请注明来自FreeBuf(FreeBuf.COM)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址