揭秘:疑似中国职业黑客组织——隐秘山猫

phper 2013-09-22 335906人围观 ,发现 58 个不明物体 头条资讯

在过去的几年里,在诸多类型的大型APT( Advanced Persistent Threats 高可持续性威胁)攻击事件背后,一个神秘组织逐渐浮出水面。赛门铁克安全团队认为,这个组织是黑客中的佼佼者,技术水平完全超越了其他知名黑客组织,并称他们为——“隐秘山猫”。“隐秘山猫”这个词来自于赛门铁克在一台控制服务器通讯中发现的字符串。

这个组织的主要特点

技术实力强悍
灵活机动
有组织
足够的智慧
极具耐心

足够的证据显示,“隐秘山猫”很早的接触0day漏洞,并且具有猎人般极强的耐心去攻破目标。他们的攻击任务链一般是感染计算机、完全获得控制权并等待“被控计算机”回连,这些攻击任务都是经过精密计算而非业余黑客的冲动之举。

“隐秘山猫”黑客团队并不仅仅限制在为数不多的目标,而是不同地区数百个不同的目标,任务甚至并发。鉴于广度和数量以及有关的区域,我们推断这个集团是最有可能是一个职业的雇佣黑客团体。

“隐秘山猫”人员组成预计在50到100之间,分为两个以上的组,他们训练有素,使用不同的技术和工具。由于这些攻击需要时间和努力,他们在攻击前会需要一定的研究。他们使用称为Moudoor和Naid 的木马后门程序,这些后门程序可以逃避安全软件的检测和捕获,因此不会被公司安全人员发现。

赛门铁克称,自2011年以来,他们已经发现六个以上的案例与“隐秘山猫”有关,其中最有名的是2012年6月的VOHO攻击有意思的是,在此事件中,“隐秘山猫”使用“水坑攻击”技术,而此种攻击样本已在BIT9(美国一家企业终端安全软件公司)的签名库中,因此“隐秘山猫”的攻击遇到了障碍。

所谓“水坑攻击”,是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。这种攻击行为类似《动物世界》纪录片中的一种情节:捕食者埋伏在水里或者水坑周围,等其他动物前来喝水时发起攻击猎取食物。

但是“隐秘山猫”很快改变战术,将攻击方向转向BIT9的服务器,他们通过渗透,向BIT9系统的签名库系统植入多个恶意木马,最终辗转至真正的目标。

赛门铁克发表了详细的报告,感兴趣的FreeBufer可以看看。

2

这份长达28页的报告称,研究人员认为“隐秘山猫”可能参与了2009年的极光行动(Operation Aurora)攻击,那是迄今为止针对美国公司最著名的一起网络间谍活动。在极光行动中,黑客们攻击了谷歌Adobe系统等数十家公司。

赛门铁克的研究人员表示,无法确定背后隐藏的具体黑客是谁,也无法确认是否与中国政府有关。美国电脑安全公司Mandiant在今年2月公布的另一份报告则称,中国军方有一个秘密单位对美国公司实施了网络间谍活动。但北京严厉驳斥了该指控。

赛门铁克认为,该团体位于中国,因为用于攻击的多数基础设施都位于中国,而恶意软件的编写也使用了中文工具和中文代码。

[原文来自赛门铁克]

这些评论亮了

  • Drizzle.Risk (3级) 18年校招开始了~ 北京甲方互联网~安全工程师~一起来搞好玩... 回复
    √ 技术实力强悍
    √ 灵活机动
    × 有组织
    √ 足够的智慧
    √ 极具耐心
    √ 有书记
    )75( 亮了
  • 河蟹 回复
    其实只有我一个人
    )33( 亮了
  • p0tt1 (6级) 黑客叔叔,RainRaid和SniFFeR.Pro团队负责人 回复
    据某大牛分析 赛门给出的这份报告下载地址的pdf文件包含最新pdf 0day~全系统 全版本支持~ 木马回连速度快~ 但是呢 我不传谣 不信谣 还是下载了 然后~~~ 我把家里的水表给拆了~挂在了门口~
    )26( 亮了
  • cnh4ckff 回复
    而恶意软件的编写也使用了中文工具和中文代码

    他是在说易语言?
    ~~
    大黑阔
    ~~
    果然很黑
    ~~
    )19( 亮了
  • 儿,你妈喊你回家吃饭!
    )15( 亮了
发表评论

已有 58 条评论

取消
Loading...
css.php