首页
论坛
专栏
课程

黑客组织是如何针对美军采取行动的?

零日情报局 发布于 零日情报局 2019-11-25 15:02

大家好,我是零日情报局。

本文首发于公众号零日情报局,微信ID:lingriqingbaoju


最近的新闻经常让人不得不感慨,灯塔国是不是水逆了。什么美国败走叙利亚,总统特朗普“通乌门”被弹劾,全球鹰无人机被伊朗击落,再被“暴尸”。

就连到处兴风作浪的美国陆军,这段时间在网络诈骗的围攻下,“地表最强”的人设也有点崩塌。

今年9月,安全研究员发现了一个为美国退役军人提供工作机会的网站。考虑到退伍军人的恰饭问题,一个名叫Hire Military Heroes(雇用军队英雄)的组织,上线了专门为美国大兵解决就业的网站。



(美军就业网站的文案很动人,我们使美国更安全)

可是研究员一查才发现,这才不是什么“雇用英雄”的官方组织,就一黑客团伙假冒伪装;他们也不是来解决退伍兵的就业刚需,只想针对美国军人发起网络攻击,仅此而已。

一旦美国士兵下载了应用程序,就开始安装恶意软件,黑客可以完全控制计算机。专家猜测,黑客最终目的剑指美国国防系统,以窃取重要军事信息。

敢对美军下手的,得吃多少豹子胆,所以这个大胆嚣张的黑客,断然不是无名之辈。而关于这个正面刚美军的黑客组织,赛门铁克对它有过追踪,名字就叫做Tortoiseshell(龟甲)。




说起针对美军搞网络诈骗,这种在太岁头上动土的事情,竟也不是一次两次了。

前两天的最新消息,一个五人诈骗团伙供认,他们登入了美国陆军的AHLTA(健康纵向技术应用)数据库,然后偷偷用手机拍照,记录获取了现役、预备役、国民警卫队、退伍等军人的个人识别信息。

前前后后,他们一共窃取了几千个美国军人的身份信息,然后黑进美国国防部网站、退伍军人福利网站,把受害人的银行资金、养老金、伤残津贴转移到个人账号,获利金额已经达到了数百万美元。


(美国法院对诈骗团伙的起诉书)


虽然说,这次事件是内鬼作案,团伙中有一人是美军平民医疗记录的管理者,但是区区一个的病历管理员,就可以轻松拿到这么多军人的敏感信息并二次利用,让人有理由怀疑,美军内部的网络安全,指不定是有点毛病。




还有件事更尴尬,美国有442名军官被人诈骗勒索了,赎金56万美金。

至于敲诈过程,听了叫人老脸一红。诈骗犯看准美国军人身边都是糙老爷们,多少有点“饥渴”心态,便在社交平台上假扮年轻美女,跟军官们谈起了在线恋爱。

殊不知这是一群关押在南卡罗莱纳州一所监狱的犯人,等士兵们交换照片时,这群犯人摇身一变,又变成“女朋友”的父亲或警察,指控士兵涉嫌儿童色情犯罪。




被人骗钱又骗感情,事后都没有一个人敢吱声,真是好惨一美军啊。




看来,美国军队也不是铁板一块,尤其在网络威胁面前,美国陆军自己也曾表示过,“每次敲击键盘都可能是致命的,不管是对个人、军队,还是国家”。

那个专骗美军的就业网站


就拿开头提到的Hire Military Heroes虚假就业网站攻击过程来说一说。

当用户访问网站时,会提示他们下载适用于Windows 8、8.1或Windows 10的桌面应用程序。对于Windows 10下载,它是一个包含名为win10.exe的程序的zip文件。(多数可疑文件分析服务都无法检测到该文件。)



下载文件

启动程序后,就会看到一个显示“雇佣军事英雄是雇用军队的新资源”的加载页面,它光明正大的显示正在尝试连接数据库。



载入画面

其实,这时程序正在下载另外两个恶意软件文件,并将其保存到计算机。然后,它会显示“对不起,您的安全解决方案终止了我们的服务器的连接。”

假装自己是合法程序,是你计算机不让我运行。而实际上是,它压根提供不了什么就业服务。


伪造错误

这个时候,两个偷偷下载的恶意软件也已安装完毕,并开始运行。一个负责收集中招军人个人及其电脑信息,一个负责执行黑客组织的攻击命令。

收集信息的恶意程序,会执行111个指令,这些指令将收集计算机上所有文件的列表,驱动器信息,运行进程,网络信息,用户帐户列表,网络共享,ARP表条目,防火墙信息等。

然后将所有这些信息收集到名为%Temp%\ si.cab的文件中,接下来就会通过嵌入式Gmail电子邮件,回传给黑客。



部分执行的命令

除了收集信息的恶意软件外,还将在计算机上安装远程访问木马。该木马将作为Windows的“ dllhost”服务安装,显示名称为“ Dll host”。

接下来,中招者每次启动Windows,就会开始感染木马,因为“ dllhost”服务配置的是自动启动。




一旦启动,RAT将重新连接到攻击者的命令和控制服务器,并在其中接收要执行的命令。这些命令可以是终止服务,上载文件,解压缩文件或执行命令。

总的来说,你的电脑还是你的,但你的电脑又不再是你的。




这种RAT感染实质上使攻击者可以完全控制计算机,并允许黑客执行任何操作。并且有专家称,此次攻击范围并仅限于美国退役军人,美国现役军人同样会受到攻击。

那只专搞美国沙特的“龟甲”


其实这种攻击方式,各大APT组织都十分上手,但敢盯上美国军方的组织,是Tortoiseshell黑客组织,或者叫它“龟甲”也可以。

它最早的攻击活动可以追溯到2018年7月,除了最近的攻击美国陆军行为,之前至少对11个组织发起过网络攻击。巧就巧在,这些被攻击组织大多是来自美国盟友,沙特阿拉伯。从了解到的信息来看,这个“龟甲”非常擅长定制恶意软件,比如自定义后门的Syskit木马。

以下3个PowerShell脚本,是他们常用的网络武器:
•Infostealer/ Sha.exe / Sha432.exe
•Infostealer/ stereoversioncontrol.exe
•get-logon-history.ps1

值得一提的是,网络专家曾经在其中一个受到TortoiseShell攻击的受害者的电脑系统里,找到了一个名叫Poison Frog(毒蛙)后门,这个后门与自伊朗的高级威胁OilRig(又名APT34,HelixKitten)的活动相关联。

更多零日发现与反思


再强悍的军队,也都是由一个个人组成,铜墙铁壁也有百密一疏时。

2017年,健身软件Strava发布一幅“全球运动热力地图”,一名澳大利亚学生通过这份热力图,找到了美国设在叙利亚、伊拉克和阿富汗等国的军事基地。

至于泄露的源头,是爱运动的美国大兵,日复一日的跑步轨迹点亮了整个基地。



(运动轨迹清晰勾勒出美军摩加迪沙基地的轮廓)

强大如美军,依然无法在危及全球的网络威胁中独善其身。

甚至美军现役150万人的庞大体量,多如牛毛的发分支机构,都成了黑客组织随时找到空子,发起网络奇袭的命门。

这无不时刻警醒着我们,21世纪,也许很难在大国之间看到硝烟弥漫的战争,但威胁却从未远离,它可能来自网络,可能来自生活,也可能只是攻击了一个人、一个组织、一个系统,就能瘫痪一个国家。

分享到:
最新评论 (0)
登录后即可评论