云圖(CloudAtlas):網絡間諜活動“紅色十月”重現江湖
責編:admin |2014-12-12 12:59:01卡巴斯基實驗室的安全研究人員發現,攻擊者正在籌劃一個代號為“云圖”的新興網絡間諜活動,而這與兩年前發生的全球大型間諜活動“紅色十月”如出一轍。
科普:關于“紅色十月”
在2012年10月,卡巴斯基實驗室全球研究&分析團隊發起了一項關于新威脅的研究,研究的目標是目前針對各種國際外交服務機構的網絡攻擊。在調查過程中,一個大型的網絡間諜網絡被揭露和分析,我們稱之為“紅色十月(RedOctober)”(來源于著名的小說《獵殺紅色十月?)
Red October的攻擊者從數個國家的外交、政府、軍事、科研機構、石油公司、貿易公司等中竊取了大量的機密信息,這些國家主要是東歐國家、前蘇聯成員國和中亞國家。
在卡巴斯基公開揭露Red October的間諜活動之后,該組織立即中斷了他們的行動,還把他們攻擊時所使用的命令與控制(C&C)服務器報廢了。研究人員稱,像如此大規模的網絡間諜活動,攻擊者們往往投入巨大,因而不會輕易罷手。于是僅僅在Red October暫停了數月后,改頭換面后的Red October——“云圖(CloudAtlas)”出現了。
“紅色十月”和“云圖”的異同
自2014年8月份以后Red October就再也沒有出現過。近期研究者們檢測到一系列利用CVE-2012-0158而發動的攻擊以及一個不同尋常的惡意程序,研究者們把這次的網絡攻擊活動命名為“云圖(CloudAtlas)”。
研究者們注意到CloudAtlas與Red October有很多相似之處,如都使用了同種釣魚攻擊:都使用了名為Diplomatic Carfor Sale.doc的惡意文件,針對相同的攻擊目標,使用相同的TTP(技術、策略和程序),相同的攻擊工具。這么多相似之處,使我們不得不相信CloudAtlas就是Red October的“復刻版”。
利用云服務器作為攻擊設施
但是他們之間也有一些不同之處,如加密算法:RedOctober使用的是RC4,CloudAtlas使用的是AES。
專家們還發現了CloudAtlas的一些特別之處,CloudAtlas使用的命令與控制(C&C)服務器來自瑞典云供應商CloudMe,也就是說攻擊者利用云服務器與受害者的機器進行網絡通信。云服務提供商CloudMe已在其官方Twitter上證實了這一點,他們現在正在關閉所有與CloudAtlas C2有關的賬戶。