一、概要

“威脅互連情報研究小組”(TCIRT)今日發現了一份攜帶網絡武器的微軟WORD文檔，文檔的內容是一份有關美國-蒙古2014年“可汗探索”聯合軍事演習的“概念制定會議”聲明?；仡櫼酝?，TCIRT小組曾發現過其他種類的誘餌文件，所用語言均為蒙古語，主題都是圍繞2013年6月的蒙古總統選舉。本次活動代表了中國針對蒙古以及與蒙古有經濟、軍事和外交往來的國家采取的計算機網絡滲透活動。蒙古通過與其所謂的“第三鄰國”—美國、如本、韓國和歐盟—展開接觸，正在走一條更加獨立的道路，這有可能成為中國發起計算機網絡滲透活動的原因。這樣一來，中國就能清楚了解蒙古與美國和其它西方國家之間關系的演變，并且能夠保護中國自身在蒙古的國家利益。

二、分析2014“可汗探索”軍事演習的“概念制定會議”聲明文件

TCIRT發現的這份攜帶網絡武器的微軟WORD文檔來自美太總部的一份官方非密文檔，文檔指出“概念制定會議中涉及的美國陸軍、海軍陸戰隊以及國務院相關部門將參加2014可汗探索軍事演習”。這份名為“概念制定會議聲明信息-2014可汗探索軍演草案文件”利用CVE-2012-0158 漏洞在計算機系統中植入惡意程序，然后通過peaceful.linkpc.net, mongolia.regionfocus.com以及mseupdate.strangled.net三個域名連接其指揮和控制系統。

同樣的，一份名為“越南緹瑟郡學術更新”的doc文檔中，黑客利用 CVE-2012-0158 漏洞發起了類似攻擊，域名指向跟“可汗探索”中三個域名相同。這份文件內容涉及蒙古國防部與越南軍隊聯合訓練的聲明。這就說明蒙古國防部負責計劃和演習的部門正在遭受一系列范圍很廣的網絡攻擊。一旦成功安裝在主機之后，木馬會向外界 /2011/n325423.shtml發送GET請求：

木馬程序還包含指揮和控制系統的固定編碼字符串：

三、結構的復雜：

以下研究發現了其它指揮和控制域。TCIRT發現上述三個域名重復指向許多地址。2013年10月初，所有域名指向香港IP：113.10.205.236.

回顧2011年10月7日至2012年10月7日域名解析情況，可以確定這些黑客一直都在使用一些常用的Ip地址，例如58.64.200.105以及58.64.200.106。

四、與中國的聯系：

TCIRT分析認為任何與這些惡意域名有關的注冊信息和私人信息都應該與黑客活動有關。以下電子郵件地址就是用來注冊這些域名的。

針對這些電子郵件的研究發現，yyan_79@hotmail.com 出現在一份2008年的論文之中，該論文名為“網絡中P2P文件污染防治策略研究”。郵箱主人正是論文作者“云燕”，1979年生，曾在大連理工大學計算機系上學。

五、與APT1的聯系

2013年10月5日，TCIRT發現另一個惡意軟件樣本同樣利用了相同的GET請求“/2011/n325423.shtml”，并連接至mongolia.regionfocus.com。研究人員發現，APT1曾經在數據組中使用過GET請求“/2011/n325423.shtml”?；仡欀皩PT1的分析，APT1之前也曾將指揮和控制系統指向IP地址68.96.31.136。

研究人員發現自2010年9月18日以來到2013年2月，APT1很多域名都指向過68.96.31.136這個地址。直到APT1報告出現之后，這些惡意指向才逐漸消失。

六、總結：

中國此次黑客活動的意圖可以歸納為三點：

1.中國不能眼睜睜看著美國通過“可汗探索”等軍事演習對自己形成具有武力威懾的“包圍圈”。 

2.隨著蒙古與“第三鄰國”逐漸建立密切的關系，中國需要保證在蒙利益。

3.中國在蒙古的投資巨大，中國依賴蒙古巨大的銅礦，中國需要保證與蒙古之間的合作伙伴關系。

這次黑客活動代表了中國針對有可能危害中國在蒙利益的組織發起的計算機網絡滲透活動。正如這些包含網絡武器的文檔證明，中國APT仍在攻擊與蒙古軍方有合作關系的美國軍隊。同樣的，歐洲和其它國家與蒙古的外交活動也將成為攻擊的對象。英文原文來源(略有編譯)：http://www.threatconnect.com/news/khaan-quest-chinese-cyber-espionage-targeting-mongolia/