freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

揭秘:疑似中国职业黑客组织——隐秘山猫
2013-09-22 00:10:42

在过去的几年里,在诸多类型的大型APT( Advanced Persistent Threats 高可持续性威胁)攻击事件背后,一个神秘组织逐渐浮出水面。赛门铁克安全团队认为,这个组织是黑客中的佼佼者,技术水平完全超越了其他知名黑客组织,并称他们为——“隐秘山猫”。“隐秘山猫”这个词来自于赛门铁克在一台控制服务器通讯中发现的字符串。

这个组织的主要特点

技术实力强悍
灵活机动
有组织
足够的智慧
极具耐心


足够的证据显示,“隐秘山猫”很早的接触0day漏洞,并且具有猎人般极强的耐心去攻破目标。他们的攻击任务链一般是感染计算机、完全获得控制权并等待“被控计算机”回连,这些攻击任务都是经过精密计算而非业余黑客的冲动之举。

“隐秘山猫”黑客团队并不仅仅限制在为数不多的目标,而是不同地区数百个不同的目标,任务甚至并发。鉴于广度和数量以及有关的区域,我们推断这个集团是最有可能是一个职业的雇佣黑客团体。

“隐秘山猫”人员组成预计在50到100之间,分为两个以上的组,他们训练有素,使用不同的技术和工具。由于这些攻击需要时间和努力,他们在攻击前会需要一定的研究。他们使用称为Moudoor和Naid 的木马后门程序,这些后门程序可以逃避安全软件的检测和捕获,因此不会被公司安全人员发现。

赛门铁克称,自2011年以来,他们已经发现六个以上的案例与“隐秘山猫”有关,其中最有名的是2012年6月的VOHO攻击有意思的是,在此事件中,“隐秘山猫”使用“水坑攻击”技术,而此种攻击样本已在BIT9(美国一家企业终端安全软件公司)的签名库中,因此“隐秘山猫”的攻击遇到了障碍。


所谓“水坑攻击”,是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。这种攻击行为类似《动物世界》纪录片中的一种情节:捕食者埋伏在水里或者水坑周围,等其他动物前来喝水时发起攻击猎取食物。
但是“隐秘山猫”很快改变战术,将攻击方向转向BIT9的服务器,他们通过渗透,向BIT9系统的签名库系统植入多个恶意木马,最终辗转至真正的目标。


赛门铁克发表了详细的报告,感兴趣的FreeBufer可以看看。

2

这份长达28页的报告称,研究人员认为“隐秘山猫”可能参与了2009年的极光行动(Operation Aurora)攻击,那是迄今为止针对美国公司最著名的一起网络间谍活动。在极光行动中,黑客们攻击了谷歌Adobe系统等数十家公司。

赛门铁克的研究人员表示,无法确定背后隐藏的具体黑客是谁,也无法确认是否与中国政府有关。美国电脑安全公司Mandiant在今年2月公布的另一份报告则称,中国军方有一个秘密单位对美国公司实施了网络间谍活动。但北京严厉驳斥了该指控。

赛门铁克认为,该团体位于中国,因为用于攻击的多数基础设施都位于中国,而恶意软件的编写也使用了中文工具和中文代码。

[原文来自赛门铁克]


本文作者:, 转载请注明来自FreeBuf.COM

被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑