全球40起黑客攻击或与CIA有关 长角牛黑客组织打卡“上班”

4月11日讯 安全公司赛门铁克宣布，从16个国家遭遇的40起攻击中分析，这些攻击者使用的工具与“Vault 7”文件中揭露的CIA间谍战术中暴露的工具相当类似。

例如Fluxwire（CIA）和Corentry（Longhorn）。Fluxwire是维基解密披露的一款CIA网络间谍恶意软件，它包含对新功能添加后的日志变更日期，其变更跟Longhorn黑客组织创建的恶意软件Corentry的开发周期很相似。

赛门铁克在长篇报告中提到高度组织化北美黑客组织“长角牛”（Longhorn），该组织与这40起攻击均存在关联。虽然未指明Longhorn由CIA特工组成，但是，赛门提克提供了大量证据。

赛门铁克写到，Longhorn使用的工具相当符合与维基解密泄露文档中的开发时间和技术规范，以及共享Vault 7文件中的一些加密协议。比如使用32位密钥的AES加密算法、在SSL中使用内部加密以防中间人攻击以及每次连接都要交换密钥等。以及使用内存中字符串反混淆和实时传输协议（RTP）来跟C&C服务器通信。

除此之外，为了规避检测，就连使用的战术也与文件中披露的一致。

考虑到使用的工具和技术如此类似，不禁让人怀疑Longhorn的活动与Vault 7文件都是同一组织的杰作。

“长角牛”（Longhorn）到底是谁？

据现有资料至少可以肯定的是，“长角牛”（Longhorn）是自2011年以来开始活跃的黑客组织，使用大量后门木马和0day漏洞攻击目标，该组织已经渗透进国际运作组织。

此外，该组织还盯上了金融、电信、能源、航空航天、信息技术、教育和自然资源行业的目标。尽管赛门铁克并未透露目标的具体名称，但他们指出，这些受感染的目标分布在中东、欧洲、亚洲和非洲16个国家。美国的计算机曾遭遇黑客攻击，但在一小时内就启动了卸载器，说明这起攻击很有可能是无意之举。

当维基解密开始在网上曝光CIA文件时，赛门铁克发现大量这些文件包含的信息与Longhorn开发的工具“Corentry”木马近乎一致。Corentry的新功能出现在了赛门铁克获取的样本中。

赛门铁克的研究人员概述了Vault 7文件中详述的其它工具，例如Fire和Forget，Archangel有效载荷用户模式注入规范。另一文件中详述的另一工具概述了恶意软件工具应遵循的加密协议，该协议被多年应用子啊Longhorn使用的工具中。

赛门铁克自2014年以来一直在跟踪Longhorn，当时Longhorn使用Word文档中的0day漏洞利用通过Plexor感染目标引起了他们的注意。Longhorn用来攻击目标还会使用的其它恶意软件，包括Corentry、Backdoor.Trojan.LH1和Backdoor.Trojan.LH2。

而且，Longhorn组织将恶意软件部署到目标以前，将通过目标特定密语、独特的命令与控制（C2）域名和返回给攻击者的通信IP地址进行预配置。Longhorn工具嵌入了大写的密语，内部引用 “groupid”和“siteid”，可能是用来识别活动和受害者。

黑客组织周一至周五打卡上班 目标明确

赛门铁克公司表示，Longhorn创建并部署的恶意软件专为间谍行动构建，具有详细的系统指纹识别、发现和渗漏能力。

维基解密曝光Vault 7文件之前，赛门铁克认为Longhorn是参与情报收集行动的组织，该组织具备丰富的资源，分析其工作时间戳表明，他们的工作时间为周一至周五。

这就说明，Lonhorn是国家支持型的黑客组织。既然泄露的文件就摆在眼前，该组织的身份及其幕后黑手也就没什么悬念了。  

 

  

本文转自d1net（转载）