「奇異熊」黑客組織黑航空航天公司幹啥?
最近,Palo Alto公司安全研究人員發現俄羅斯APT黑客組織——「奇異熊」(Fancy Bear )正在使用一種新型Mac OS X木馬針對航天航空業的公司發起攻擊。
主導性的觀點認為,Fancy Bear是一個俄羅斯間諜情報組織又名Tsar Team(APT28),該組織主要針對美國、西歐、巴西、中國、伊朗和許多其他國家的國防部門和軍方官員進行情報間諜活動。很多政府機構、非盈利組織和公司數據泄密的事件都和他們有關係。
7月份,希拉里團隊電腦系統被黑,2萬多封美民主黨絕密郵件泄露,當局就懷疑是由一隊受俄羅斯軍方總參謀部情報總局(GRU)支持、代號Fancy Bear的黑客組織所為;9月,Fancy Bear又入侵了世界反興奮劑機構(WADA)資料庫,並在網上公開包括美國網球運動員威廉姆斯姐妹、體操名將拜爾斯等人的保密醫療檔案。去年該組織還入侵了德國聯邦議院和法國TV5 Monde TV等。
當然,對於此事俄羅斯政府是堅決否認的,他們表示Fancy Bear自己都說了全美第一黑客組織Anonymous旗下的,該組織的口號與匿名者黑客組織的口號相同,即我們是匿名者,我們是軍團,我們不會原諒,我們不會忘記,期待我們。
但是,暗中調查Fancy Bear的Crowdstrike安全公司卻斬釘截鐵地說:Fancy Bear絕對是俄羅斯網路間諜組織。Crowdstrike首席技術人員Dmitri Alperovitch說:「我們有很大的把握可以證明,Fancy Bear是俄羅斯情報組織,它應該隸屬於俄羅斯軍方情報機構GRU。」
過去幾周里,我們已經對關於美國民主黨全國委員會(DNC)的攻擊事件進行了很多討論,安全專家也收集到了一支俄羅斯政府支持的黑客組織的參與證據。
特別是,威脅情報公司ThreatConnect的安全專家,已經對美國聯邦調查局於8月份發表的一份警報中的IP地址進行了分析,結果表明,針對選舉系統發起的兩次網路攻擊來自美國兩個州。
ThreatConnect的安全專家發現,這一事件與一個俄羅斯間諜組織(據稱與莫斯科政府有關)間存在一些關聯。承載釣魚信息的其中一個域名,其註冊所使用電子郵件地址與臭名昭著的APT28group(APT28集團)所使用的域名間存在關聯。
現在,「奇異熊」(FancyBear)又一次成為了新聞頭條,根據Palo Alto公司的惡意軟體研究報告指出,這一可怕的組織正是運用一種新型木馬攻擊Mac OS X設備的幕後黑手。
據Palo Alto公司安全研究人員RyanOlson所言,「奇異熊」(Fancy Bear)曾使用Komplex木馬對航天航空業公司實施攻擊,而這些企業都有使用MacKeeper殺毒軟體。
Palo Alto研究人員稱該木馬與網路間諜組織Sofacy(也稱為APT28,PawnStorm,Fancy Bear以及Sednit)有關。
研究人員表示,直到目前才發現該惡意軟體的有效荷載,但還未發現任何受感染的受害者。儘管如此,他們稱基於行動期間使用的文檔,該木馬樣本似乎定製用來針對航空和航天工業的個體。
Palo Alto 公司稱,到目前為止,已知該木馬有三個版本:分別可用來攻擊x64架構、x86架構以及x64和x86架構。
安全專家稱,該木馬的第一階段組件利用MacKeeper Mac殺毒應用程序中的漏洞在Mac計算機上停留。
從他們分析的樣本來看,研究人員表示,第一階段組件偽裝成呈現俄羅斯聯邦太空計劃的PDF文件。第一階段組件通過添加自身的.plist文件到計算機啟動程序獲取boot持久性,然後下載所謂的Komplex有效荷載dropper。
第二階段組件收集系統數據,且只有當互聯網連接可用時,才會開始與C&C伺服器通信,發送受感染主機有關詳情。
C&C伺服器將決定要發送的其它Komplex模塊。研究人表示,他們識別出了模塊—允許Sofacy操作員在受感染主機上下載文件、收集和竊取數據或執行命令。
Palo Alto稱,Komplex木馬與BAE Systems在2015年6月發現的木馬一致。另外,基於該木馬的操作模式以及源代碼結構,他們認為Komplex是5月底部署攻擊美國政府官員的Carberp Windows木馬的Mac埠。
國外某網站發布了28個黑客組織排名(FancyBear組織位居22名)
註:本文參考來源於securityaffairs
推薦閱讀:
※凱悅酒店再次泄露用戶數據,中國區域酒店受傷最深
※中國Foscam製造的IP攝像機存在大量漏洞,且未被修復
※工具解析篇:高效利用JS載入.Net程序