《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > 賠本買賣還是另有隱情:一場針對美國頂級安全公司的APT攻擊

賠本買賣還是另有隱情:一場針對美國頂級安全公司的APT攻擊

2020-12-10
來源:互聯(lián)網安全內參
關鍵詞: 火眼 APT攻擊

  12月8日,美國頂級安全公司火眼發(fā)布通告稱,公司網絡被“擁有一流網絡攻擊能力”的國家黑客組織所突破。攻擊組織利用前所未有的技術組合,滲透進入火眼公司內網,盜取了火眼的網絡武器庫——紅隊測試工具,可被用于在世界范圍內入侵高價值的目標。

  《紐約時報》甚至將這一事件稱為:自2016年美國國家安全局(NSA)網絡武器被竊取以來,已發(fā)現(xiàn)的最大規(guī)模網絡武器盜竊事件。微軟安全架構師也認為此次事件堪比方程式組織被攻擊。

  通過對火眼被攻擊事件的研究,奇安信CERT安全專家發(fā)現(xiàn):除非另有隱情,這次的APT攻擊很可能是一場“賠本買賣”——這場國家級黑客組織花費巨大技術成本進行的APT攻擊,可能沒有達到獲取高價值信息的戰(zhàn)略目標,不排除卷土重來的可能。

  高成本的國家級黑客攻擊

  對此次事件所展示的攻擊能力,火眼首席執(zhí)行官凱文·曼迪亞(Kevin Mandia)甚至用其25年所遭遇的頂級攻擊來形容:

  從攻擊者的行為、操作的隱蔽性和使用的技術來看,整個過程可以說是對火眼公司量身定制,攻擊的背后無疑是國家背景的黑客組織。

  在本輪攻擊中,黑客竭盡所能隱藏起自己的行跡:他們創(chuàng)建了數千個互聯(lián)網協(xié)議地址,其中不少是美國本土地址,而且此前從未被用于實際攻擊。利用這些地址,黑客幾乎可以徹底隱藏在燈影之下。

  凱文·曼迪亞指出,攻擊方似乎在“攻擊行動”方面接受過嚴格的訓練,表現(xiàn)出極強的“紀律性與專注度”。行動隱秘且使用了應對安全工具和取證檢查的多種方法。谷歌、微軟及其他參與網絡安全調查的企業(yè)也表示,其中涉及不少此前從未出現(xiàn)過的技術。

  此次攻擊引起了FBI的介入調查。FBI確認稱此次黑客入侵確實屬于國家支持行動,但并沒有挑明具體是哪個國家。FBI網絡部門副主任Matt Gorham提到,“FBI正在介入調查。初步跡象表明,攻擊者的攻擊水平與技術成熟度堪與民族國家比肩?!?根據FBI隨后將案件移交給對俄專家的行為可以推測,攻擊方可能來自俄方。

  黑客組織的戰(zhàn)略目標可能并未實現(xiàn)

  分析一場APT攻擊,至少分為戰(zhàn)略、戰(zhàn)術和技術三個層次,從技術和戰(zhàn)術層面來說,黑客組織投入了高額成本,也獲得了攻擊活動的勝利,但戰(zhàn)略意圖如果僅僅是為了竊取現(xiàn)在公開的這一網絡武器庫,顯得經不起推敲。

  與NSA泄露的專門網絡武器不同,此次火眼外泄的紅隊工具由惡意軟件構成,主要包括用于自動偵察的簡單腳本,以及類似于 CobaltStrike 和 Metasploit 等公開技術的整個框架,供火眼進行各類攻擊模擬,并沒有 0day 漏洞。

  奇安信CERT安全專家發(fā)現(xiàn):所泄露的工具包括從簡單的自動化腳本到復雜如 Cobalt Strike/Metasploit 的攻擊類框架。通過對火眼于 red_team_tool_countermeasures 倉庫中發(fā)布的各檢測規(guī)則文件與清單文件內容進行甄別發(fā)現(xiàn):多數可明確識別的工具為開源工具(或其修改版本)及擁有常規(guī)功能的工具,未見明顯的高能力、高價值、高危險性的私有工具、攻擊框架。所涉及的漏洞中,60%以上的漏洞,奇安信CERT均已發(fā)布過安全通報;剩余漏洞影響到的軟件、平臺在國內較為罕見,其實際的威脅完全可以忽略。

  奇安信威脅情報中心也基于火眼發(fā)布的文件,從奇安信樣本庫中進行了掃描,發(fā)現(xiàn)火眼的紅隊會模仿其他APT組織的攻擊手法進行攻擊。

微信圖片_20201210140304.png

 微信圖片_20201210140306.jpg

  奇安信CERT安全專家認為,火眼本身在網絡威脅檢測、郵件威脅檢測、終端威脅檢測等領域具備世界頂級水平,入侵火眼公司的網絡顯然需要極高的技術成本。

  作為服務大型企業(yè)、政府機構和關鍵基礎設施的美國一流安全公司,火眼最有價值的信息包括客戶信息、威脅情報等核心技術資料,以及未公開的APT報告和證據,但根據火眼透露的信息:攻擊者試圖訪問“與某些政府客戶有關的信息”,但目前尚無證據證明客戶信息已被盜。

微信圖片_20201210140309.png

  一個結論和三個假設

  奇安信CERT安全專家認為,從目前披露出的信息看,與黑客組織攻擊所付出的高昂成本相比,除非另有隱情,這場攻擊無疑是一樁賠本買賣,不能排除該黑客組織會卷土重來。

  是否另有隱情?可能存在三種假設:

  攻擊組織獲取了高價值信息,但火眼尚未發(fā)現(xiàn)或公開

  攻擊活動被火眼發(fā)現(xiàn)并終止,及時止損

  攻擊者僅僅掌握了一部分紅隊的行動機器,無法取得更大進展。

  無論是否另有隱情,火眼公司被成功入侵再次說明,沒有攻不破的網絡,在網絡攻擊面前,不存在絕對的安全。

  奇安信威脅情報中心負責人表示,由于一些APT組織攻擊手法并不復雜,容易被其他攻擊者進行模仿,這種假旗行為需要提防。

  目前,基于奇安信威脅情報中心的威脅情報數據的全線產品,包括奇安信威脅情報平臺(TIP)、天擎、天眼高級威脅檢測系統(tǒng)、奇安信NGSOC等,都已經支持對火眼紅隊樣本的精確檢測。(Ti.qianxin.com)

 微信圖片_20201210140321.png

  了解火眼紅隊測試工具的檢測規(guī)則及樣本分析,請點擊閱讀原文奇安信威脅情報中心詳細分析。

 

本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。