【2019年03月18日讯】美国网络安全公司火眼(FireEye)近期公布了一份调查资料,显示一个被命名为APT40的中共网络间谍组织正受到火眼的关注,其自2013年开始的网络攻击行为也因此遭到曝光。
火眼公司多名专家于发布联合调查文章《ATP40:审查中共网络间谍黑客》,文章指出,火眼公司正在关注一项针对关键技术和传统情报目标进行的网络间谍行动,该行动得到中共的支持,由代号被称为“APT40”的网络黑客组织执行。
调查指出,该黑客组织至少在2013年就已经开始进行活动,当时的目标是支持中共海军现代化建设。该黑客组织专门针对工程、运输和国防工业领域,特别是在这些领域与海事技术重叠的专业技术领域。最近,火眼公司还观察到参与“一带一路”的国家也受到了该黑客组织的攻击。总的来说,柬埔寨、比利时、德国、香港、菲律宾、马来西亚、挪威、沙特阿拉伯、瑞士、美国和英国等国家都成为APT40的目标。
这个中共网络黑客组织先前被报导为TEMP.Periscope和TEMP.Jumper。
黑客宗旨:配合中共全球野心
2016年12月,中共军队(PLAN)在南海海域搜捕了一架美国海军无人水下航行器(UUV)。火眼公司调查到,在此后的一年之内,黑客组织APT40伪装成UUV制造商开展了众多网络攻击活动,目标瞄准了从事海军研究的大学,目的是为了获得支持中共海军发展的先进技术。火眼公司的专家们相信,APT40对海事问题和海军技术的重视,最终是为了支持中共建立“蓝水海军”(a blue-water navy)的野心。
除了海洋是重点外,APT40还针对传统情报目标覆盖了更为广泛的区域性目标,特别针对在东南亚开展业务或涉及南中国海争端的组织机构。最近,这样目标包括与东南亚选举有关的受害者,这可能是受到了中共“一带一路”活动的影响。
火眼公司认为,中共的“一带一路”(BRI)是一项耗资1万亿美元的项目,旨在建立链接亚洲、欧洲、中东和非洲的陆路和海上贸易路线,以扩大中共将来在这个大区域内的影响力。
APT40带中共基因 并非他国黑客
火眼公司专家认为,有合理的理由可以认为APT40是由中共支持的中国网络间谍黑客组织,因为他们的行动目标与中共利益一致,并有多项技术痕迹表明该组织的基地在中国。
对APT40的运营时间分析表明,该组织的活动时间可能以中国北京时间(UTC +8)为准。此外, APT40命令和控制(C2)的多个网络区域最初由中国域名经销商注册,并拥有带有中国位置信息的Whois记录,这表明该基础设施采购流程以中国为基地。
调查还显示,APT40还使用了位于中国的多个互联网协议(IP)地址进行运作。在一个实例中,从开放索引服务器恢复的日志文件显示,位于中国海南的IP地址(112.66.188.28)已被用于管理与受害计算机上的恶意软件通信的命令和控制中心。所有登录到此C2的计算机都配置了中文语言设置。
火眼掌握APT40攻击流程
一、初步入侵
火眼公司已经观察到APT40利用各种技术进行初步入侵,包括网络服务器开发;进行公共可用和定制后门的网络钓鱼活动;以及战略性网络入侵。
• APT40在很大程度上依赖于网页后门(web shells)。根据所处位置,网页后门可以持续访问受害者的系统,重新感染受害者系统,并促进横向移动。
• 该行动的鱼叉式网络钓鱼电子邮件通常利用恶意附件,但火眼公司也观察到有时会使用Google Drive链接。
• APT40在其网络钓鱼操作中利用漏洞攻击,经常在漏洞发布后的几天内将漏洞武器化。火眼公司观察到的漏洞包括:
o CVE-2012-0158
o CVE-2017-0199
o CVE-2017-8759
o CVE-2017-11882
二、建立立足点
APT40使用各种恶意软件和工具来建立立足点,其中许多是公开可用的,或其它黑客组织使用的恶意软件。在某些情况下,该组织也曾使用过具有代码签名证书的可执行文件来避免遭到检测。
• 在下载其它有效负载之前,使用AIRBREAK、FRESHAIR和BEACON等首道后门。
• PHOTO、BADFLICK和CHINA CHOPPER是APT40最常使用的后门之一。
• APT40通常会瞄准VPN和远程桌面凭据,以便在目标环境中建立立足点。这种方法被证明是理想的,因为一旦获得这些凭证,他们可能不需要高度依赖恶意软件来继续执行任务。
三、升级特权
APT40混合使用自定义和公开可用的凭据收集工具,以升级权限和输出密码哈希值。
• APT40利用自定义凭证窃取工具,例如HOMEFRY,一种与AIRBREAK和BADFLICK后门一起使用的密码破解器。
• 此外,Windows Sysinternals ProcDump实用程序和Windows凭据编辑器(WCE)也被认为是在入侵期间使用的程序。
四、内部侦察
APT40使用受损的凭据来登录其它连接系统,并进行侦察。该组织还利用受害者环境中的RDP、SSH、合法软件、一系列本机Windows功能、公开可用工具,以及自定义脚本来促进内部侦察。
• APT40在受害组织内部使用MURKYSHELL来进行端口扫描IP地址,并进行网络计数。
• APT40经常使用本机Windows命令(如net.exe)对受害者环境进行内部侦察。
• 几乎在攻击的所有阶段都严重依赖网页后门。内部网络服务器与面向公众的设备相比,通常没有配置相同的安全控制,这使得它们更容易被APT40和类似具有丰富经验的黑客组织利用。
五、横向移动
APT40在整个环境中使用许多横向移动方法,包括自定义脚本、网页后门,以及远程桌面协议(RDP)。对于每个被入侵的新系统,该组织通常会执行恶意软件,执行额外的侦察并窃取数据。
• APT40还使用本机Windows实用程序,如at.exe(任务计划程序)和net.exe(网络资源管理工具)进行横向移动。
• 公共可用的隧道工具与独特的恶意软件并用成为行动的特征。
• 虽然MURKYTOP主要是一种命令行侦察工具,但它也可以用于横向移动。
• APT40还使用公共可用的工具和名为DISHCLOTH的自定义实用程序来攻击不同的协议和服务。
六、维持存在
APT40主要使用后门,包括网页后门来保留在受害者环境中的存在。这些工具可以持续控制目标网络中的关键系统。
• APT40最喜欢使用的是用网页后门来保持其存在,尤其是公开可用的工具。
• 在建立立足点阶段期间使用的工具也继续用于维持存在阶段,这些工具包括AIRBREAK和PHOTO。
• 一些APT40恶意软件工具可以通过利用GitHub、Google和Pastebin等合法网站进行初始C2通信来逃避典型的网络检测。
• 利用通用TCP端口80和443来混入常规网络流量。
七、完成使命
完成任务通常涉及从目标网络收集并传输信息,这可能涉及在到达目的地之前,通过多个系统移动文件。火眼公司已观察到APT40合并从受害者网络获取的文件,并使用归档工具rar.exe在退出之前压缩并加密数据。火眼还观察到APT40会开发如PAPERPUSH工具,以帮助他们高效定位数据并盗窃。
APT40依然在进行黑客攻击
火眼公司调查显示,尽管公众越来越关注,但中共黑客组织APT40继续按照常规节奏进行网络间谍活动。火眼公司的专家们预计,该黑客组织的运营将至少在近期和未来一段时间持续。
根据APT40在2017年扩大到与海外大选相关的目标来看,火眼公司预测,受中共“一带一路”项目的推动,该中共黑客组织的未来目标将影响海洋以外的其它行业。特别是随着个别“一带一路”项目的展开,人们可能会看到APT40将继续开展活动,并延伸到“一带一路”项目沿线的对手机构内部。(大纪元)