过去两年来,一个疑似来自黎巴嫩的网络间谍小组黑掉了数百个国防供应商、电信运营商、传媒以及教育组织,范围超过10个国家。
Check Point软件技术公司的研究人员发现了这一系列仍在持续的攻击,他们将攻击行动称之为“爆炸雪松”(Volatile Cedar,黎巴嫩有雪松之国的称谓)。最初迹象可以追溯到2012年,但该间谍组织一直在小心地调整他们的入侵工具以避免被杀毒软件检出,因此直到今天才被发现。
不像大多数网络间谍组织,爆炸雪松不使用鱼叉式 网络钓鱼 或网站挂马下载,他们的目标是网站服务器,并将其作为攻击的入口点。
Check Point周二发布的详细报告称,攻击者使用自动漏洞扫描器配合一些手动方式来寻找网站和网页应用中的漏洞,之后实施入侵。这些漏洞被用于对目标Web服务器安装后门程序(Web shell)。
如果被入侵的服务器运行微软的IIS Web服务器软件,攻击者就使用自身权限来安装一个定制的Windows木马程序:炸药(Explosive)。该程序有键盘记录和其它信息窃取能力,也是该黑客组织的主要恶意工具。他们通过炸药来从被感染的服务器提取信息,包括管理员键入的密码。该木马程序也被用来感染目标域中的其它服务器。其最新版本包含了感染U盘扩散的能力。
在受害服务器中发现了一些定制端口扫描器和其它工具的残留,研究人员据此相信攻击者是使用最初感染的服务器作为入口,以入侵整个网络。
研究人员已经确认,炸药木马的三个主要版本在过去两年时间里被反复使用。通常情况下,如果攻击者发现老版本已经被反病毒程序检测到,就会发布新的版本。在大多数情况下,这样的检测事件是意外发生的,通常是由于杀毒软件积极的启发式扫描,而不是手动检测。
有充分的证据表明,爆炸雪松竭尽全力让自己的恶意入侵行为隐藏起来。他们会定期确认反病毒检测结果,并相应地更新受害服务器上的木马版本。
他们用到的恶意程序会监控自身的内存消耗情况,以确认其不会达到某个引起怀疑的特定阈值;而且,它在不对外界发起通信的时段内会进入“无线电静默状态”。这些时段在每个入侵案例中都不同,是在配置文件中预置好的。
炸药木马同样也会定期检查和幕后操控服务器的通信状况,以确认继续运行是否安全。所有的通讯都伪装成了随机网络流量,看起来并没有和幕后服务器直接联络。该木马会和硬编码服务器与动态更新服务器进行通讯,如果通讯失败,它就使用域名生成算法找到新的服务器目标。
研究人员表示,尽管炸药木马只能安装在Windows服务器上,攻击者同样入侵了Linux服务器,并安装了Web壳。在此过程中没有发现使用零日漏洞的迹象,但其可能性不能完全排除。
研究者在黎巴嫩发现了大量的受害者,但他们在以色列、土耳其、英国、日本、美国和其它国家也都找到了被入侵的机构。
研究人员表示,有数百个受害者,但是其具体数量和地理位置还不能公布,因为这部分数据还在收集中。Check Point准备近日发布一份后续报告,其中将披露更多信息。
至于攻击来源,幕后服务器地址、域名whois记录和其它技术证据表明攻击者位于黎巴嫩。攻击的老练程度显示他们有可能由国家或政治集团赞助,不过大量的受害者人数也可能表明这些攻击属于国内间谍活动。这意味着这些行动可能不是由黎巴嫩当局支持的。
对网络攻击进行溯源总是很困难的,而且存在误差。黎巴嫩这个攻击来源也可能只是攻击者故意伪造的而已。
可以肯定,这些攻击不是无序行为。因为这些攻击活动属于该组织的日常工作。虽然他们并不像NSA那样老练,但也有很好的持久性和行动纪律。而且,类似于炸弹木马这种完全定制的恶意程序并不常见。
几天前,爆炸雪松已经对Check Point开展的信息共享策略作出了反应,他们发出了自毁命令,以消除所有被感染系统上的恶意软件,断绝其和幕后服务器的通信。