Top
首页 > 网络和信息安全 > 安全情报站 > 正文

赛门铁克研究人员将40个网络攻击联系到维基解密所暴露的CIA黑客工具

据信由CIA创建并在Vault 7文档中提到的网络间谍恶意软件Fluxwire包含添加新功能的更新日期,根据赛门铁克,与“Corentry”的开发周期非常相似,这是一个恶意软件创建的由Longhorn黑客组。
发布时间:2017-04-11 09:51        来源:thehackernews        作者:

安全研究人员证实,维基解密最近曝光的CIA黑客工具据称已被用于16个国家的至少40个政府和私人机构。

自3月以来,作为“ Vault 7 ”系列的一部分,Wikileaks发布了超过8,761份文件和其他机密信息,举报组织声称来自美国中央情报局(CIA)。

现在,网络安全公司赛门铁克公司的研究人员据称将近年来针对政府和私营部门的CIA黑客攻击手段与许多真正的网络攻击联系起来。

这些40次网络攻击是由Longhorn进行的 - Longhorn是一个北美黑客组织,自2011年以来一直活跃,并利用后门特洛伊木马和零日袭击政府,金融,能源,电信,教育,航空航天和自然资源部门。

虽然该集团的目标是所有在中东,欧洲,亚洲和非洲,研究人员表示,该集团一旦感染在美国的一台电脑,但卸载程序是一个小时,这表明内推出的“ 受害者被无意感染了。 ”

有趣的是,赛门铁克将维基解密所披露的一些CIA黑客工具和恶意软件变更在Vault 7文件中,将其与Longhorn网络间谍活动联系起来。

Fluxwire(由CIA创建)≅Corentry(由Longhorn创建)

据信由CIA创建并在Vault 7文档中提到的网络间谍恶意软件Fluxwire包含添加新功能的更新日期,根据赛门铁克,与“Corentry”的开发周期非常相似,这是一个恶意软件创建的由Longhorn黑客组。

赛门铁克解释说:“赛门铁克早期版本的Corentry包含对Fluxwire程序数据库(PDB)文件的文件路径的引用。“Vault 7文档列出了将PDB的完整路径删除为版本3.5.0中实现的更改之一。“截至2014年,Corentry的版本使用GCC [GNU编译器集合]编译,根据Vault 7文档,Fluxwire于2015年2月25日切换到版本3.3.0的MSVC编译器。这反映在Corentry,在2015年2月25日编译的版本中,使用MSVC作为编译器。

类似的恶意软件模块

另一个Vault 7文档详细说明了有效载荷的“Fire and Forget”规范,以及称为Archangel的恶意软件模块加载程序,Symantec称之为几乎完美匹配的Longhorn后门称为Plexor。

“另一个Longhorn工具称为Backdoor.Plexor,有效载荷和用于加载它的接口的规格紧密匹配,”赛门铁克说。

使用类似的密码协议实践

另一个泄漏的CIA文件列出了应在恶意软件工具中使用的加密协议,例如使用32位密钥的AES加密,SSL内部的内部加密技术来防止中间人攻击,以及每次连接一次密钥交换。

一个泄漏的CIA文件还建议使用内存中字符串去混淆和实时传输协议(RTP)来与命令和控制(C&C)服务器进行通信。

根据赛门铁克,Longhorn集团在其所有黑客工具中也使用了这些密码协议和通信方式。

更多关于LongHorn黑客组

Longhorn被描述为一个资源丰富的黑客组织,工作周一至周五工作周,可能是国家赞助组织的行为,并在美国时区运作。

Longhorn的高级恶意软件工具专门用于网络间谍活动,具有详细的系统指纹识别,发现和exfiltration功能。该组在其恶意软件中使用极其隐蔽的功能,以避免检测。

赛门铁克对该团队活动的分析还显示,Longhorn来自英语北美国家,其代码使用的是带有代码字的警察,包括代码字REDLIGHT和ROXANNE,以及俗语“scoobysnack”。

总的来说,中央情报局文件中描述的功能及其与小组活动的联系,“毫无疑问,Longhorn的活动和Vault 7文档是同一组织的工作 ”。

专题访谈

合作站点
stat