隱秘山貓:受雇傭的專業(yè)黑客
一、概覽
隱秘山貓是一個專業(yè)的黑客組織,具有超強的攻擊能力。他們曾攻陷了美國安全公司Bit9的數(shù)字證書簽名系統(tǒng),使他們的間諜程序變得合法。攻擊Bit9只是他們在過去的四年時間里所進行的眾多動作之一。
隱秘山貓還提供了“黑客雇傭”服務(wù),職責(zé)就是從眾多的企業(yè)和政府目標中檢索出特定的需求信息。他們組織的工作效率很高,可以同時執(zhí)行多個任務(wù),可以攻破全球安全防護做的最好的企業(yè)組織,可以迅速的改變自己的戰(zhàn)術(shù)以實現(xiàn)對目標的攻陷。為實現(xiàn)對特定目標的攻擊他們通常使用自己設(shè)計的多個木馬程序:后門程序Moudoor常用于大型活動,并且這個程序已經(jīng)在全球網(wǎng)絡(luò)廣泛分布;木馬Naid是保留給特殊行動,用來打擊高價值目標。隱秘山貓利用尖端的攻擊技術(shù),使得他們在眾多黑客組織中脫穎而出。
本文會對隱秘山貓這個組織進行深入了解,包括他們的攻擊目標和動機、通過他們的活動來了解他們的攻擊能力和攻擊策略。
二、背景
2013年2月,Bit9的一份聲明中披露:在2012年7月,他們的網(wǎng)絡(luò)系統(tǒng)曾經(jīng)被第三方間諜程序所破壞。這個名叫隱秘山貓的知名組織和“極光行動”大有關(guān)系,當時他們利用SQL注入攻擊并進入了Bit9的網(wǎng)絡(luò)系統(tǒng)。他們的間諜程序使得他們能夠成功入侵國防工業(yè)部門。
需要注意的是,Bit9被入侵只是VOHO大型水坑攻擊的一小部分,VOHO攻擊影響到了美國上百家企業(yè)和組織。此外,由于這個令人難以置信的組織,使得VOHO運動只是眾多攻擊運動中的一個。每個攻擊運動都是為了獲取世界上最富有、技術(shù)最先進國家的政府和商業(yè)組織的信息。
極光行動:OperationAurora或歐若拉行動,2009年12月中旬可能源自中國的一場網(wǎng)絡(luò)攻擊。遭受攻擊的除了Google外,還有20多家公司:其中包括Adobe、Juniper、雅虎、賽門鐵克、陶氏化工。這場攻擊過后,Google提出了它的新計劃:它將“在必要的法律范圍內(nèi)”,于中國運營一個完全不受過濾的搜索引擎;同時Google也承認,如果該計劃不可實現(xiàn),它將可能離開中國并關(guān)閉它在中國的辦事處。
三、隱秘山貓組織簡介
隱秘山貓組織從2009年以來就一直在運作,很有可能就是一個提供“黑客雇傭”服務(wù)的專業(yè)黑客組織。他們完全有能力同時攻擊多家企業(yè)或組織。他們的工作有條不紊并且效率很高。基于這些因素,他們會是一個相當具有規(guī)模的組織,大概有50-100人組成。
這個組織的成員擅長于系統(tǒng)攻擊,他們使用兩個精心設(shè)計的木馬程序采取雙管齊下的策略,利用大量的弱點滲透來對目標的知識產(chǎn)權(quán)進行針對性的攻擊:
Moudoor團隊負責(zé)散發(fā)Backdoor.Moudoor木馬程序,有一個叫“Gh0stRAT”的定制版本木馬,在橫跨多個行業(yè)的大規(guī)模活動中經(jīng)常使用。散發(fā)Moudoor程序需要有相當數(shù)量的人員協(xié)同工作,在攻陷目標的同時從目標網(wǎng)絡(luò)中檢索出有利用價值的信息。
Naid團隊負責(zé)散發(fā)Troin.Naid木馬程序,在Bit9公司被入侵的記錄中發(fā)現(xiàn)了該木馬程序的代碼,Naid木馬似乎只在針對攻擊某些高價值的目標時使用。在VOHO運動中這個木馬被用來執(zhí)行過一個特殊的操作并且是由神秘山貓組織里面的一個技術(shù)高超的攻擊者所為。另外,在2009年的“極光行動”中也被發(fā)現(xiàn)過Naid木馬程序的代碼。
在這些攻擊活動中,大部分的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和工具被定位來源于中國。隱秘山貓組織經(jīng)常使用0day漏洞,反復(fù)滲透、巧妙植入、長期潛伏、精確打擊,是隱秘山貓組織的特點。他們的工作有條不紊,技能也遠遠的超前與其它一些攻擊群體,如APT1。隱秘山貓在過去的四年里一直在運作著APT攻擊。在2013年他們已經(jīng)發(fā)起多次0day攻擊,他們也將繼續(xù)保持他們的領(lǐng)先優(yōu)勢,進行有針對性的網(wǎng)絡(luò)攻擊。#p#
四、他們的目標是誰?
自2011年11月以來,隱秘山貓已經(jīng)成功入侵過數(shù)百家企業(yè)或組織。在此期間,這些組織一直在被持續(xù)控制之中。商業(yè)組織和各級政府部門是隱秘山貓的主要攻擊對象,從各種行業(yè)的不同攻擊目標來看,他們的攻擊對象并不固定。隱秘山貓可以在全球范圍內(nèi)同一時間發(fā)起多次針對不同目標的攻擊。
隱秘山貓最近對韓國的一些特殊組織進行了攻擊并且西方國家的國防工業(yè)部門長期以來一直是他們的攻擊對象。
自2011年以來隱秘山貓攻擊目標和攻擊范圍所涵蓋的行業(yè)及國家/地區(qū)統(tǒng)計
五、他們的動機是什么?
一系列的有針對性的信息表明,隱秘山貓是一個專業(yè)性的黑客組織。他們的任務(wù)是獲取目標的具體信息,從而在同行之間保持領(lǐng)先水平。他們不會參與到經(jīng)濟利益的直接獲取中。這樣的運作模式表明他們是一個提供“黑客雇傭”的私人組織,他們技術(shù)高超,有經(jīng)驗豐富的專業(yè)人士,他們通過提供黑客技術(shù)來取得收入。
商業(yè)間諜
在上圖顯示中,金融服務(wù)業(yè)被認為是最具有針對性的行業(yè)。有一種傾向是攻擊目標專門針對此行業(yè)內(nèi)特定的企業(yè)。投資銀行和資產(chǎn)管理機構(gòu)的賬戶是他們的主要目標。某些類型的金融機構(gòu),例如商業(yè)銀行的經(jīng)營者,明確的表明了他們的攻擊是針對這些目標的。
隱秘山貓利用他們的專業(yè)技能參與到大型企業(yè)的交易中,例如在即將到來的企業(yè)兼并和收購中,利用他們可以獲得競爭對手的一些保密信息,從而獲得競爭優(yōu)勢。通過集中瞄準這一領(lǐng)域,在談判大型企業(yè)的并購或在證券交易所進行股票交易時,將會提供寶貴的信息。
對金融行業(yè)的攻擊并不僅限于投資銀行,還有證券交易公司,包括世界上最大的一個證券交易所都受到了他們的攻擊。隱秘山貓還通過供應(yīng)鏈提供間接攻擊,他們提供硬件基礎(chǔ)設(shè)施、安全網(wǎng)絡(luò)通信和服務(wù),特殊的金融部門也受到過他們的攻擊。可以肯定他們進行攻擊活動的動機就是這些金融行業(yè)。
攻擊政府承包商
隱秘山貓有針對性的攻擊目標,從地方政府到國家政府,并且多次反復(fù)嘗試滲透進入這些政府的內(nèi)部網(wǎng)絡(luò)。他們攻擊政府承包商,有資料證實隱秘山貓攻擊的目的是為了獲取這些政府部門的機密信息,也有資料顯示他們是在為某些國家政府工作。
通過攻擊有先進技術(shù)的特殊領(lǐng)域,比如航空航天領(lǐng)域,可以獲得對他們國家有利的技術(shù)資料,或者彌補技術(shù)差距。通過攻擊互聯(lián)網(wǎng)服務(wù)提供商,可以獲得很多有價值的信息。隱秘山貓實施的“極光運動”,這個運動中有針對性的攻擊了很多組織,包括軟件服務(wù)制造商和安全服務(wù)提供商。最近,微軟聲稱隱秘山貓通過標記電子郵件進行法院命令竊聽。他們相信這些攻擊都是反情報行為,這些行動的背后可能是有國家政府在支持。#p#
六、他們都做了些什么?
隱秘山貓的入侵工具、戰(zhàn)術(shù)和自動化程序都是處于頂尖的水平。他們針對不同的目標采用量身定制的攻擊工具和技術(shù),以便最大程度的實現(xiàn)成功入侵。他們攻擊公共網(wǎng)絡(luò)設(shè)施并且為了秘密行動而采用自己設(shè)計的木馬程序。他們實施過最成功的水坑式攻擊。為了成功散發(fā)木馬程序他們還進行了釣魚式攻擊和提供黑客技術(shù)產(chǎn)業(yè)鏈。這是一個有多年經(jīng)驗的團隊,并且他們有足夠的網(wǎng)絡(luò)資源和高技術(shù)人才。
在以下三個主要事件中可以清晰的證明隱秘山貓組織的超強攻擊能力:在VOHO運動中,他們成功入侵了提供數(shù)字簽名服務(wù)的Bit9公司。在FINSHO運動中,他們使用了先進的0day漏洞攻擊。在SCADEF行動中,他們通過操縱供應(yīng)鏈攻擊成功入侵了目標。
繞過堅固可信的防護系統(tǒng)
隱秘山貓面對困難可以迅速的改變應(yīng)對策略。在Bit9事件中,他們就通過繞過Bit9公司堅固的網(wǎng)絡(luò)安全防護系統(tǒng),成功的使他們的木馬程序獲得合法簽名。然而,入侵Bit9只是VOHO大型水坑攻擊的一小部分,通過這一事件證明了他們在面對新的困難和阻礙時可以迅速的適應(yīng)變化并采取新的策略和應(yīng)急政策。
Bit9事件
Bit9是一家提供網(wǎng)絡(luò)安全服務(wù)的公司,總部位于馬薩諸塞州的沃爾瑟姆。Bit9替代了傳統(tǒng)的基于簽名的防病毒解決方案,他提供了一個基于云端信譽服務(wù)的可信安全平臺并結(jié)合控制應(yīng)用程序的策略和白名單保護來防止網(wǎng)絡(luò)威脅。其結(jié)果是,由于Bit9平臺的安全防護,第三方惡意木馬程序很難在網(wǎng)絡(luò)上進行傳播,比如遠程控制木馬“Gh0stRAT”。但是隱秘山貓對此毫無畏懼,他們的精英小組接受了挑戰(zhàn)。
在2013年2月8日,在Bit9公司的發(fā)表文件中有細節(jié)透漏:有一個第三方的惡意程序已經(jīng)入侵了他們的數(shù)字代碼簽名證書系統(tǒng)。在此次事件中,有很多木馬程序和惡意腳本程序被賦予合法簽名。在2月25日,更多的攻擊細節(jié)被透漏出來:在6個月前的2012年7月,有一個后門程序通過SQL注入攻擊進入Bit9網(wǎng)絡(luò)內(nèi)部。起因是源于一次運營監(jiān)管,有一臺面向公眾的服務(wù)器脫離了Bit9安全平臺的防護,使得攻擊者趁機攻陷了這臺服務(wù)器。
然后攻擊者安裝了后門程序Hikit,這個后門木馬程序提供了極其隱秘的遠程控制通道。隨后同一區(qū)域內(nèi)的另外一臺虛擬機的登陸口令被攻擊者獲取。這臺虛擬機是Bit9公司的數(shù)字代碼簽名證書服務(wù)器。攻擊者利用這臺服務(wù)器簽署了32個木馬程序。賽門鐵克的遙測系統(tǒng)顯示簽署的程序中有一部分已經(jīng)存在于美國國防工業(yè)部的網(wǎng)絡(luò)中。
一旦這些木馬程序被賦予合法簽名,它們將會繞過Bit9公司的安全防護平臺。被賦予合法簽名的木馬程序中包括后門程序Hikit的變種,以及另外一個木馬程序Naid。還有一些惡意腳本程序也被賦予合法簽名,每一個惡意程序都有其特殊的目的。比如:Hikit后門程序用于隱藏在提供對外服務(wù)的服務(wù)器中,而Naid木馬程序用于水坑式攻擊中針對性的攻擊某些高價值的目標。
Torjan.Naid木馬程序的數(shù)字簽名證書
Hikit后門程序控制了Bit9的數(shù)字代碼簽名證書服務(wù)器,并賦予Naid合法簽名
Bit9公司在2013年1月份注意到事件的危害后立即采取了遏制措施,比如撤銷了簽名證書并通告給了整個行業(yè)。從Bit9公司入侵事件來看,隱秘山貓攻擊的動機并不是直接的經(jīng)濟利益,而是試圖獲取更多的資料信息。Bit9公司承認,他們的3個客戶也受到了此次事件的影響。
在對Bit9進行攻擊的同時,另外一個更著名的運動也已經(jīng)順利進行。他們剛剛結(jié)束了VOHO運動,一個針對美國馬薩諸塞州波士頓地區(qū)的水坑式攻擊的運動。
VOHO運動
VOHO運動最先是有RSA公司公布出來的,VOHO運動是最大也是實施最成功的一次水坑式攻擊。這次運動結(jié)合了區(qū)域性攻擊和特定行業(yè)間的攻擊,主要針對目標是美國的企業(yè)和組織。這次攻擊開始于6月25日,結(jié)束與7月18日,期間有接近4000臺機器被下載了惡意程序的攻擊載荷(攻擊載荷是目標系統(tǒng)被滲透攻擊之后所執(zhí)行的代碼)。這些攻擊載荷通過合法網(wǎng)站傳播給了不知情的受害者。
隱秘山貓實施水坑式攻擊的做法頗有創(chuàng)意。在水坑式攻擊中,攻擊者設(shè)法攻陷一個合法網(wǎng)站,當目標訪問合法網(wǎng)站時就會受到感染,從而實施對目標的攻擊。從受害者規(guī)模和針對的目標性質(zhì)可以看出水坑式攻擊和以往的攻擊行為有很大不同。在2011年12月隱秘山貓首次使用這項技術(shù)時,利用了OracleJavaSERhino的腳本引擎遠程代碼執(zhí)行漏洞(CVE-2011-3544),從而成功了執(zhí)行了他們的攻擊載荷。由于隱秘山貓的此次事件的成功,許多其它攻擊行為都模仿此戰(zhàn)略,比如2013年初期,針對IOS開發(fā)者的攻擊事件,使得蘋果、Facebook和Twitter的許多員工受到影響。
在VOHO運動中,有10家合法網(wǎng)站受到影響。隱秘山貓的攻擊者精心挑選了目標對象可能要訪問的網(wǎng)站,從而使得他們的攻擊載荷可以實施精確打擊。
在VOHO運動中受到影響的網(wǎng)站所屬的地區(qū)和相關(guān)的部門
VOHO運動時間表,包含了兩個階段中所利用的0day漏洞和后門程序
#p#
活動時間表
隱秘山貓的水坑式攻擊分兩個階段進行。在攻擊的第一階段,他們利用了IE的0day漏洞:微軟XML核心服務(wù)遠程代碼執(zhí)行漏洞(CVE-2012-1889)。在2012年的7月10日,微軟推出了此漏洞的更新補丁,隱秘山貓因而也停止了繼續(xù)利用這一漏洞。這是一個非常明智的行為,因為如果他們繼續(xù)利用此漏洞來冒險掃描網(wǎng)絡(luò),就很有可能會被發(fā)現(xiàn),從而影響到攻擊的第二階段。
在接下來的6天內(nèi),他們實施了第二階段的攻擊,這一次他們利用的漏洞是OracleJavaSE遠程代碼執(zhí)行漏洞(CVE-2012-1723)。這個Java漏洞的補丁在后期也被及時修復(fù)。在此次入侵中,隱秘山貓連續(xù)使用了兩個0day漏洞,可見,他們不是一般的黑客組織。
接下來我們看看隱秘山貓所使用的木馬程序。
在實施攻擊的過程中,兩個木馬程序在不同的時間被使用。定制版本的“Gh0stRAT”是后門程序Moudoor,相對比木馬程序Naid來說分布的規(guī)模更大,可以看出隱秘山貓在攻擊的過程中是有選擇性的使用這些程序的。
在實施第二階段攻擊之前,木馬程序Naid已經(jīng)被Bit9公司的合法證書所簽名。Moudoor程序從來沒有在Bit9事件中出現(xiàn),可以確定這是由隱秘山貓的兩個團隊分開獨立工作的,從而他們可以獨立性的選擇目標進行攻擊。從Naid木馬程序控制的服務(wù)器來看,它與Moodoor有很大的不同,因為大規(guī)模的控制這些目標服務(wù)器會不可避免的在目標網(wǎng)絡(luò)上留下更多的痕跡。
Moudoor和Naid木馬程序的使用情況
Naid木馬團隊的角色
在這次攻擊運動中,Naid團隊有一個特殊的目標:從國防工業(yè)部獲取信息資料。在VOHO攻擊運動的第一階段,有一個未簽名版本的Naid木馬程序潛入了國防工業(yè)部,一直潛伏到7月10日微軟推出了CVE-2012-1889的補丁程序。可能是隱秘山貓在試圖進入國防工業(yè)部的內(nèi)部網(wǎng)絡(luò)時發(fā)現(xiàn),目標的網(wǎng)絡(luò)被Bit9公司的防護體系所保護,所以試圖攻擊Bit9以獲取他們的數(shù)字證書簽名。
在7月13日,就是他們對Bit9發(fā)起攻擊的幾天后,隱秘山貓組織就獲取到了Naid木馬程序的合法簽名。在接下來的一天里,他們又挖掘出了一個Java的可利用漏洞程序來傳播Naid木馬程序。現(xiàn)在即有了合法證書簽名,又有了可利用的漏洞負責(zé)承載傳播,從7月16號開始,在接下來的三天內(nèi),隱秘山貓大肆恢復(fù)進行了他們的惡意活動。就是在這段時期內(nèi),在Bit9安全保護體系下的多家網(wǎng)絡(luò)平臺被攻陷。
在VOHO運動中,Naid是用來專門保留給特殊活動中的,用來入侵高價值目標。Naid團隊的攻擊目標范圍很小,但是很專注,因為他們要最大限度的降低Naid木馬程序的曝光度。負責(zé)整體性攻擊的復(fù)雜程度要求一個攻擊者要站在一個對系統(tǒng)安全架構(gòu)高度熟悉的水平上。
很顯然,隱秘山貓的組織成員是訓(xùn)練有素、技能高超的,他們行動敏捷,工作有條不紊,可以根據(jù)變化隨時調(diào)整自己的作戰(zhàn)策略。比如,為了實現(xiàn)他們?nèi)肭謬拦I(yè)部的最終目標,他們迅速的適應(yīng)情況變化,改變作戰(zhàn)策略,從而一舉攻破了安全體系做的最好的Bit9公司的防護系統(tǒng),進而實現(xiàn)了最終目的。
Moudoor后門團隊的角色
在VOHO運動中,Moudoor后門程序都傳播范圍非常大。包括金融行業(yè),地方政府和聯(lián)邦政府,醫(yī)療行業(yè),教育業(yè),和法律行業(yè)都受到影響。對于企業(yè)間諜來說,這些行業(yè)的敏感信息都是巨大的財富。
在此次運動中受影響的組織機構(gòu)
在這次攻擊運動中,傳播如此大規(guī)模的范圍需要一個有規(guī)模的團隊來操作,并且維持訪問這些已經(jīng)被控制的電腦。只需要一個小團隊就可以輕易的實現(xiàn)系統(tǒng)入侵,但是要持續(xù)的控制所入侵的系統(tǒng)并在這些系統(tǒng)中檢索出有價值的信息就需要一個大的團隊來操作。為了實現(xiàn)同時攻擊這些組織及機構(gòu),就同樣需要有大量的人員來操作。這些木馬程序的傳播都需要手工進行操作,所以,如果沒有數(shù)百名人員來維護這個工作,那將是難以想象的。
在過去的四年里,VOHO攻擊運動只是隱秘山貓組織所進行的眾多運動之一。這顯示出了隱秘山貓為了成功獲取目標系統(tǒng)的可以迅速改變作戰(zhàn)策略。事實上,Bit9公司的數(shù)字代碼簽名證書被攻破只是這次運動中的一小部分,但這也顯示出了隱秘山貓組織的超強適應(yīng)能力和不達目的絕不罷休的信心。
高級0day漏洞攻擊
隱秘山貓組織可以獲取高級0day漏洞。在今年的2月份,在FINSHO運動中,他們利用OracleJavaSE的遠程代碼執(zhí)行漏洞(CVE-2013-1493)攻擊了日本的目標組織。
FINSHO運動
在2月25日,Bit9發(fā)表博客聲明的兩天時間內(nèi),隱秘山貓組織的成員在一次攻擊運動中利用CVE-2013-1493漏洞傳播了Moudoor后門程序和Naid木馬程序。有趣的是,有一臺C&C服務(wù)器(110.173.55.187)的Naid木馬程序的配置和Bit9事件中發(fā)現(xiàn)的樣本配置相類似。雖然入侵Bit9事件中使用的程序版本在其它事件中沒有被發(fā)現(xiàn),但是隱秘山貓這種系統(tǒng)化有條不紊的做法表明他們可能已經(jīng)利用Naid木馬程序進行了其它類似的攻擊活動。
在FINSHO運動中Moodoor和Naid木馬程序利用CVE-2013-1493漏洞的傳播情況以及漏洞的開發(fā)以及傳播時間表
根據(jù)Oracle公司發(fā)表的博客,CVE-2013-1493漏洞是在2月1日被報告給他們的,在同一天,已經(jīng)有利用該程序的代碼滲透進入了該程序,如圖10。在過去隱秘山貓利用的java攻擊載荷都是已經(jīng)對外公開了的。在這次事件中,他們得到漏洞的時間是與Oracle在同一天,很快就開發(fā)出了漏洞利用的攻擊載荷。Oracle發(fā)布CVE-2013-1493漏洞修復(fù)補丁的時間是在3月4日。
MightDev.jar文件曾被用來傳播Naid和Moudoor木馬。
通過共享的C&C服務(wù)器中Naid配置,顯示出了FINSHO運動和Bit9事件中的關(guān)系
供應(yīng)鏈攻擊
隱秘山貓在VOHO運動后繼續(xù)攻擊國防工業(yè)部。在另外一個叫做SCADEF的攻擊運動中,軍用級的計算機制造商和供應(yīng)商中的設(shè)備中發(fā)現(xiàn)了有木馬程序被嵌入到英特爾的芯片驅(qū)動中。
SCADEF
攻擊者利用變種的后門程序Moudoor捆綁了英特爾驅(qū)動程序,使用的捆綁工具是在中國非常流行的壓縮軟件Haozip。攻擊者使受害者以合法途徑下載此驅(qū)動程序,但是在本次調(diào)查中并沒有發(fā)現(xiàn)這個驅(qū)動程序的真正來源。
該技術(shù)是進入安全防護很好的網(wǎng)絡(luò)的另外一種途徑。隱秘山貓不僅攻擊硬件供應(yīng)商,政府承包商也是他們的攻擊目標。隱秘山貓小組成員旨在找出鏈中最薄弱的環(huán)節(jié),然后等待目標上線。在這次的特定攻擊中,他們只是等待受害計算機被安裝使用在目標網(wǎng)絡(luò)上。
在供應(yīng)鏈攻擊中檢測出的受害計算機數(shù)量
VOHO運動,F(xiàn)INSHO運動和SCADEF運動都表明了隱秘山貓在攻擊目標時,是如何的高效和快速適應(yīng)變化。他們具有高超的攻擊技術(shù)和先進的攻擊方法,可以快速的適應(yīng)變化以實現(xiàn)每一個目的。這三大運動是隱秘山貓在過去的時間里的一部分活動,他們的這些行動對一些行業(yè)構(gòu)成了很大的威脅。#p#
總結(jié)
網(wǎng)絡(luò)間諜活動正在變得越來越普遍,有數(shù)不清的黑客組織或威脅人員試圖攻擊一些安全防護措施做得好的組織以獲得立足之地。這些攻擊也變得越來越復(fù)雜。這些威脅人員的機動能力和戰(zhàn)術(shù)也有很大的不同。隱秘山貓組織有能力對目標進行重點攻擊,可以進行大型攻擊活動,可以在全球范圍內(nèi)同時發(fā)起針對多個組織的攻擊活動。我們已經(jīng)看到了他們的行動,自2009年以來,他們在多次運動中利用尖端的技術(shù)反復(fù)滲透、攻擊目標網(wǎng)絡(luò)。他們可以迅速的適應(yīng)安全應(yīng)對措施,并且行動活躍占據(jù)主動。在有針對性的威脅中,隱秘山貓是最具有豐富資源和能力的攻擊組織之一。
根據(jù)以上證據(jù)可以看出,隱秘山貓顯然是一個專業(yè)的組織。他們使用最新的技術(shù),可以利用多組不同的漏洞,使用專業(yè)定制的工具來攻擊目標網(wǎng)絡(luò)。他們的攻擊可以維持很長一段時間,并且具有豐富的設(shè)備資源和龐大的組織。他們團隊的成員技能嫻熟,可以快速適應(yīng)不斷變化的情況。他們的團隊大概有50-100人,這些人員的工作是制造木馬程序,維持訪問被攻陷的電腦及服務(wù)器資源以及在眾多資源中檢索出有利用價值的信息。
具有針對性的網(wǎng)絡(luò)攻擊正在不斷變化,并且日趨成熟,同時企業(yè)組織實施安全應(yīng)對措施,供攻擊者也正以極快的速度適應(yīng)這種變化。隨著越來越多的威脅人員參與其中,企業(yè)組織必須明白,老練的攻擊者正在試圖努力繞過每一層的安全防護。保護公司資產(chǎn)安全的任何解決方案都將不安全。因此,各項解決方案需要相互結(jié)合,做到更好的了解攻擊者,以充分保護攻擊者最感興趣的敏感信息。
隱秘山貓的使命很大,從他們的攻擊頻率和多樣性可以看出,他們的目的是從企業(yè)組織中獲取有利用價值的信息。他們的攻擊范圍在全球各地,攻擊目標通常是一些經(jīng)濟發(fā)達、技術(shù)先進的國家。他們一般不會利用這些信息直接獲取經(jīng)濟利益,他們可以利用的信息量巨大,而且具有多樣性,他們一般會將這些信息簽約給他們的多個客戶。這樣就使我們相信,這個一個專業(yè)的黑客組織,并且提供“黑客雇傭”服務(wù)。
最讓我們擔(dān)憂的是隱秘山貓所帶來的連鎖效應(yīng),因為其他的一些攻擊者可能會模仿隱秘山貓的攻擊行為,并學(xué)習(xí)、采用他們的攻擊技術(shù)。隱秘山貓也沒有沉迷于他們過去的輝煌之中,而是在繼續(xù)改進并精簡其業(yè)務(wù),繼續(xù)保持在這一領(lǐng)域的領(lǐng)先地位。我們預(yù)計,在未來的幾年內(nèi),會有更多的威脅人員參與到更多的攻擊活動中。像隱秘山貓類似的團體組織肯定會贏得一些戰(zhàn)斗,但是企業(yè)組織如果更好的了解了這些黑客組織是如何運作的,可以幫助我們采取相應(yīng)的對策并防止企業(yè)機密信息落入攻擊者手中。
