这个黑客组织盯着亚太地区的地缘政治情报已多年
作者:星期二, 五月 19, 20150

黑客组织“Naikon”在过去五年里成功地渗透了围绕南海的一系列主权政治组织,并收集了相关的地缘政治情报。

卡巴斯基在上周最新的针对性研究报告中表示,Naikon是一个高级持续性威胁(APT)组织,它在过去五年内大量地、高调地进行地缘政治活动。Naikon的成员可能来自中国,他们在多个国家部署了高级的数据挖掘工具和监视工具,主要目标是菲律宾、马来西亚、柬埔寨、印度尼西亚、越难、新加坡、缅甸、尼泊尔等国的政府高层机构、民间和军事组织。

在一次持续多年的网络间谍活动中,Naikon感染了装有远程控制模块的电脑,并破解了员工的工作Email和公司内部资源,包括利用外部服务存储的个人和公司Email信息。受影响的组织包括政府行政部门,比如总统办公室、内阁部长办公室和国家情报协调机构。联邦警察、司法部、军事机关同样遭到了袭击。

卡巴斯基表示,一小部分组织受到了持续的、实时的监控。不过卡巴斯基拒绝公开这些组织的所属国家。卡巴斯基实验室在其博客中说,这一组织“在东盟国家中有极高的渗透成功率”。

火眼的研究人员声称另一个名为APT30的黑客组织,与Naikon关系密切。然而由于没有找到完全匹配的样本,卡巴斯基实验室的研究者无法确认这两个代号背后就是同一个组织。研究人员表示,“有重叠的部分不足为奇,这两个组织都在南海区域活动多年了”。

卡巴斯基实验室全球研究与分析团队首席安全员库特·鲍姆加特说,Naikon组织开发了一种非常灵活的设施,可以部署在任何目标国家中,并将受害系统的信息源源不断地传送到幕后服务器上。代理服务器就部署在目标国家的边境上,每天都向攻击者传送泄露的信息。如果攻击者想将攻击目标转到其它国家身上,只需要建立一个新的连接即可。

卡巴斯基实验室表示,Naikon的攻击者们依靠传统的鱼叉式钓鱼技术攻破组织。他们使用的Email附件看上去像是Word文件,但实际上却是针对缓冲区溢出漏洞的可执行文件,它们通过微软公用空间库(Microsoft Common Controls Library)里的ListView、TreeView系列控件进行攻击。这一漏洞影响微软Office 2003 SP3、2007 SP2/3,以及Office 2010。当受害者打开附件时,可执行文件就会在受害者的电脑上安装间谍软件,并显示一个诱饵文本文档,这样受害者就不会发现入侵了。

研究者发现,Naikon的间谍软件看上去像是通过外部开发构建的。它包括三个模块:一个后门,一个构造器(Builder),以及一个漏洞构建器(Exploit Builder)。基于所入侵的平台,它会向浏览器的内存空间注入不同的代码,以及有关幕后服务器的信息、用户代理字符串、其它攻击组件的文件名和路径,以及API函数的哈希值总和。主模块负责远程注册功能,可以执行48种命令,包括获取整个目录(Inventory)、向远程服务器下载和上传数据、安装附加模块,以及在命令行执行代码。一旦模块开始运行,它就会使用SSL来建立与幕后服务器的安全链接,并检查收到的指令。

卡巴斯基实验室表示,专门人员会守在每个目标国家的相应地区,负责进行袭击。此人会学习此国家的文化规范,并将它用在攻击上,比如使用个人Email来进行工作相关的通信。在此人监控目标的同时,Naikon的攻击者们会部署代理服务器,抓取网络流量,并提供实时支持。

鲍姆加特说,通过对一部分特定目标配置专门人员,可以让Naikon间谍集团的入侵如虎添翼。

在马来西亚航空公司MH370航班失踪后,Naikon开始同时试图感染马来西亚和其它几个国家的政府机构、执法部门、民航部门。卡巴斯基实验室上个月表示,Naikon试图封锁关于调查和搜索失事航班的相关信息。卡巴斯基的研究者之前在讨论Naikon与另一个APT组织之间的冲突时揭露了它的相关活动。

2013年6月,趋势科技曝光了攻击者使用Rarstone远程访问工具(RAT)对亚洲的电信和能源行业发起攻击的相关情况。而这些使用RAT的攻击者可能就是Naikon的成员。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章