谁家的黑客，对我们的核机密这么感兴趣？
2018/7/27 11:30:27 浅黑科技

     暗网、黑客、国际网络间谍、网络战……这些词汇本该离吃瓜群众很遥远，却又有种莫名的吸引力。

     前些天，有人发来一份网络安全分析报告，一份看似稀松平常的 Word 文档，可刚翻到封面，我的好奇心一下子被撩起来……

     它的封面是这个样子：

    

     这是一份国际网络黑客组织报告，业内通称 「APT 报告」。

     所谓 APT ，全称是“高级持续性威胁”(Advanced Persistent Threat)。

     高级，既指目标高端，通常是政府要员、公司高管之类；也指水平高超。

     持续性，短则十天数月，长则十年八载甚至不惜一切代价也要拿下。

     譬如 “永恒之蓝” 漏洞的始作俑者“方程式组织”，以及被怀疑干涉美国选举的 “APT28”组织，都可称之为 “APT组织”。

     而这次披露的黑客组织，据说长期关注我国核工业和科研领域，首次发现于2011年，持续活动了整整8年，至今仍有活动迹象……

     在幺哥的认知里，这是个典型的APT组织。

     我很好奇，问对方：“这个组织你们是刚刚发现的吗？”

     对方的回答是：“针对该组织的大部分活动，3年前就已经写好了报告，只不过由于种种原因，最近才重新整理并发布出来。”

     正如他所说，这是一份“旧”报告。但它就像是一坛陈酿，一筒卷轴，年头越久越让人着迷。

     我将展开这筒卷轴，并尽力讲得通俗易懂，将一个真实的APT组织还原在你的面前……

     (一)步步惊心

     2018年4月8日，博鳌亚洲论坛年会在海南召开，主题为“开放创新的亚洲，繁荣发展的世界”，全球政界、商界、学界和媒体界知名人士汇聚。

     老王刚从海南参会回来，就收到了一封来自博鳌亚洲论坛秘书处的感谢信。

     发件人：博鳌亚洲论坛秘书处

    

    (点击查看大图)

     邮件内容很简单，大意是：

     尊敬的贵宾，博鳌亚洲论坛周秘书给您写了一封感谢函，感谢您对本次会议的支持，祝顺利。

     博鳌亚洲论坛秘书处

     2018年4月13日

     “秘书处还挺周到，还发了感谢信。” 老王呢喃道。

     他不知道，这封所谓的“感谢函”，是黑客的钓钩。会议才刚结束几天，黑客们又行动了。

     这是一次常规操作——鱼叉式钓鱼，但内容精细，手法娴熟。

     收到“参会感谢信”邮件的这些人，确实刚参加完会议，而论坛的秘书长也确实姓周。

     邮件附件是一个RAR压缩包文件，一旦点开里头的 LNK 文件，计算机随即中招，受害者立刻沦为黑客长期监控的对象。

    

     除了这种针对特殊会议活动的攻击，这帮黑客组织也有一些日常的钓鱼操作。

     比如下面这个文档来自一封鱼叉邮件的附件：

    

     乍一看，图标和文件后缀名都是 Word 文档，常人不加思索就会点开。可其实它是一个木马文件。

     攻击者用了一种RLO控制符来显示中东文字，而中东文字恰恰从右到左显示，由此木马文件的真实拓展名 RCS 被隐藏。

     当受害者打开文件的瞬间，木马执行。此时更细腻的操作来了，为了不让受害者生疑，木马会释放出一个详细内部通讯录文件。

    

     这个通讯录，每一条都是真的，是黑客事先从别的地方偷来的。

     显然，攻击者在发起攻击之前，显然已经充分了解目标，准备好了一切物料。

     除了将木马伪装成通讯录，有时也会伪装成智库文件、贺卡之类的文件。

    

     钓鱼邮件是所有黑客的惯用伎俩，相当于武术里最普通的一拳一脚。

     但真正的高手，未必舞刀弄枪大张旗鼓。往往只是最简单的一招就置人于死地。

     关键在于快、准、狠，黑客亦是如此。

    

     (二)危机四伏

     在长达八年的时间，类似事件陆续发生。仅根据360追日团队已掌握的情况，就多达10次。

     出于保密不便提及具体单位，各位浅友可以快速浏览一下：

     1)2011年3月，首次发现与该组织相关的木马，针对政府相关机构进行攻击。

     2)2011年11月，对某核工业研究机构进行攻击。

     3)2012年1月，对某大型科研机构进行攻击。

     4)2012年3月，对某军事机构进行攻击。

     5)2012年6月，对国内多所顶尖大学进行攻击。

     6)2013年6月，对某中央直属机构进行攻击，同时开始使用新类型的RAT(木马、后门的统称)。

     7)2014年8月，发现该组织使用5种以上的横向移动恶意代码针对重点目标机构进行大量横向移动攻击。

     8) 2014年12月，发现新的RAT，我们将其命名为Bfnet，该后门具备窃取指定扩展名文档等重要功能。

     9) 2015年9月，针对多个国家的华侨办事机构进行攻击。

     10)2018年4月，针对国内某重要敏感金融机构发动鱼叉邮件攻击。

     依据报告，这个名叫“蓝宝菇”的 APT 组织重点关照北京、上海以及海南地区，最早的行动可追溯到2011年。

    

     他们对中国大陆境内政府、军工、科研、金融等重点机构都进行过持续的网络间谍活动，其中教育科研机构占主要。

    

     但最主要的，他们非常非常关注核工业和相关科研情况。

     在捕获到的恶意样本中，安全人员发现一串被黑客组织用来当密码的字符：NuclearCrisis，(核危机)。

     “为什么一个关注核的APT组织，主要的目标不是国防机构，而是教育科研？”我问裴博士。(注：裴博士是360行业安全研究中心主任裴智勇)

     他告诉幺哥：

     “原因很简单，潜入科研机构比潜入军事机构简单得多，科研机构的研究者，虽然都是专家，但单就网络安全防护方面的技术能力，其实跟小白用户没多大区别，但又掌握着重要的研究成果，所以自然就成了“蓝宝菇”的重点关照对象。

    

     我：蓝宝菇这名字听起来有些滑稽，让人联想到已经过气了的“香菇蓝瘦”梗。为什么APT组织叫这个名字？

     裴博士：其实，蓝宝菇这个名字是 360 公司给起的。

     他说，按照惯例，谁最先发现的的APT组织(并发出报告)，就可以命名该组织。

     但也不乏重复命名的情况。比如涉嫌干扰美国选举的俄罗斯黑客组织，有的报告里管它叫 APT28、有的管它叫 Fear Bear (奇幻熊)，还有叫其他名字的。

     后来才发现，原来是同一伙人!

     我：“所以本质上来说，你认可谁家的报告，就按他报告里的名字叫，是这样吗？”

     裴博士：“dei。”

     裴博士告诉幺哥，360 对 APT组织的命名其实很讲究。

     “哪怕报告里的一个字你都没看过，单凭名字就能判断出APT组织的大致情况。”

     他说目前360把APT攻击分成三种：境外(组织)打境外、境外打境内、境内打境内。

     对应的命名方式是幻兽系(动物)、魔株系(植物)和超人系(人体器官)

    

     境外打境外就用动物表示，比如“美人鱼”、“人面狮”、“双尾蝎”等等。

     按照他的说法，我自己上网查了查公开资料，发现了其中的“小秘密”：

     “美人鱼”APT组织主要攻击的是丹麦外交部，而美人鱼最早出自丹麦童话；

     “人面狮”APT组织活跃在埃及和以色列地区，而人面狮身像是埃及的象征；

     “双尾蝎”针对巴勒斯坦和以色列的有关机构，而传言双尾蝎就存在于中东地区……

     境外打境内用植物来表示，比如“海莲花”、“摩诃草”。

     幺哥我?去网上查了查资料，发现“海莲花”APT组织主要针对我国海事部门，并且有证据表明黑客可能位于越南，而越南的国花正是莲花。

    

    

    (以上图片为搜索引擎检索到的公开资料，未经证实仅供参考)

     第三类是境内打境内，用人体器官表示，比如有个叫“黄金眼”的APT 组织，就是长期从事敏感金融交易信息窃取活动的境内黑客组织。

     那么，这次发现的“蓝宝菇”APT组织是哪个地区的组织？

     报告里没提，360追日团队和裴博士也不愿说，各位浅友不妨根据上面说的方式自行推测一下。

    

     我问裴博士：? 老师老师， 境外打境外、境外打境内、境内打境内都有了，那境内打境外的怎么命名呢？

     他指着我说：这位同学，请你出去。

     (三)“蘑菇”也在生长

     裴博士说，“并非每个黑客团伙一上来就是顶尖高手，他们很可能也是一路升级成高级团伙的。”

     他把黑客团伙划分成四个阶段：

     初学乍练：大量使用民间别人的代码和工具，不懂隐藏自己，时而进行测试；

     广泛撒网：为了寻找目标，开始大面积搜寻，开始使用漏洞自己制作工具；

     收缩攻击：找到特定目标后，缩小攻击面，开始针对性做攻防对抗，开始使用 0day 漏洞；

     无形攻击：累积了大量0day漏洞和武器库，但攻击隐于无形，就像从未发生过。

     我：这世上真有隐于无形的黑客攻击吗？

     裴博士：大概率有，比如 WanaCry 勒索软件利用的 “永恒之蓝”漏洞，方程式组织早就掌握了，但这些年里，这个漏洞到底被用来攻击了谁，很少有人能说清楚……什么也没干过？不太可能。

     我：……

     回到蓝宝菇的话题。

     根据追日团队捕获到的线索，2011年蓝宝菇第一次作案时，处于“初来乍练”阶段，如今手法日渐长进，工具愈发高端，已经进入了第三个“收缩攻击”阶段。

     期间，他们明显经历了三个成长阶段：

     第一阶段是2011-2012 年，该组织主要用到的攻击木马是 Poison Ivy(一款专用的远程控制木马)。

     第二阶段是2013-2014年，彼时 Poison Ivy虽然仍在继续使用，但很明显被升级到了几个全新的版本，功能、隐蔽性和对抗性都有强化。

     第三阶段是2014年三季度--2015年，蓝宝菇的行动开始大量进行横向移动攻击，这可以看做是攻击一个目标成功并且转向周围其他目标的标志。

     并且，从2014年底开始使用 Bfnet 后门，除了利用看似无害的可执行文件来执行恶意载荷，还会针对常用办公软件 WPS 的程序进行专门攻击，意图明显。

     八年里，“蓝宝菇”对抗杀毒软件和虚拟机的技术也日益增长。

     “木马执行后首先判断系统中是否有相关杀毒软件进程，以及自己是否身处虚拟机，然后根据情况来决定删除可能触发告警的代码，还是原计划进行。

     甚至，他们还制作了一堆功能插件，根据被感染者的不同身份来定向投放，看人下菜碟(插件)，比如：

     有的用来拷贝办公常用的文件，诸如：PDF、DOC、DOCX、XLS、WPS、PPT、ZIP、RAR等；

     有的用来查看同一局域网内的其他设备的网络信息，包括计算机名、MAC地址；查看远程计算机服务及状态，并且尝试传输一些恶意代码。

     有的则用来盗取Outlook 办公软件的密码。

     甚至，还有专门的后台截图工具，用来获取用户当前的屏幕信息……

     我很好奇：360追日团队是怎么发现好几年前的黑客作案痕迹的？

     裴博士说，利用大数据分析，“挖坟”。

     他说，很多年前360 就开始积累攻击样本分析数据，但当时并不能完全理解每一项数据的所有意义。直到360开始搭建开始搭建威胁分析系统，这时他们才发现这些旧数据的价值。

     “5年前同一个木马连过哪些服务器，同一个组织在这5年里攻击过哪些不同目标，这些目标之间有什么关联，同一个工具又曾被哪些组织用过，泄露出来的恶意代码是否相似……这些旧数据一下子全都关联了起来。”

    

     “就像是抓住一串葡萄的把，轻轻一扯就全出来了。” 裴博士说。

     回想起来，很可能2011年前后蓝宝菇组织的隐藏能力并不强，曾暴露过一些线索。过了这么多年，或许他们自己也没料到，当年他们留下的蛛丝马迹竟会被重新揪了出来。

     这种尴尬，恐怕无异于自己多年前留在QQ空间的非主流杀马特照片被翻了出来。

    

     (当年的某个杀马特巨星)

     跟裴博士聊完，我发现传说中的APT组织并没有想象中神秘。他们也是一个个坐在电脑前，活生生的人，但他们又确实神出鬼没，防不胜防，以至于人们不得不处处提防，步步谨慎。

     所幸，有那么一群安全研究者在我们看不到的地方与之战斗，竭力将其他们挡在我们视野之外。

     于是我们这帮吃瓜群众才能若无其事地讨论、八卦暗网、黑客组织、网络间谍那些事儿。

     未来会不会爆发网络战，幺哥不清楚。但我能确信，黑客之于物理世界的影响必将越来越大，干涉选举、盗取机密信息，恐吓勒索……未来类似“蓝宝菇”这样的事必然还会发生，也还会有更精彩的黑客攻防故事。

     浅黑科技也愿意成为这些真实事件的记录和解读者，把背后的精彩呈献给大家。

     APT 这件事，其实一言难尽，为了顾及大部分浅友的阅读体验，本文就没有放技术细节和代码什么的。不过我还是跟裴博士要了一份报告，点击阅读原文或者在浅黑科技后台回复关键词“蓝宝菇”即可。全程自助，大家按个人口味自行享用。

     未来我会持续输出更多相关知识和解读，欢迎关注浅黑科技~

    

     最后再介绍一下我自己吧，我是谢幺，科技科普作者一枚，日常是把各种高大上的技术知识、黑科技讲得通俗有趣。如果有什么有意思的科技类问题，可以加我的个人微信：dexter0。

     不想走丢的话，请关注【浅黑科技】!

     ----点击图片阅读更多精彩文章----

    

    

     浅黑科技，让技术被读懂

    

    

    http://weixin.100md.com
返回 浅黑科技 返回首页 返回百拇医药