云图:网络间谍活动“红色十月”重现江湖

安全 黑客攻防
卡巴斯基实验室的安全研究人员发现,攻击者正在筹划一个代号为“云图”的新兴网络间谍活动,而这与两年前发生的全球大型间谍活动“红色十月”如出一辙。

卡巴斯基实验室的安全研究人员发现,攻击者正在筹划一个代号为“云图”的新兴网络间谍活动,而这与两年前发生的全球大型间谍活动“红色十月”如出一辙。

[[124398]]

科普:关于“红色十月”

在2012年10月,卡巴斯基实验室全球研究&分析团队发起了一项关于新威胁的研究,研究的目标是目前针对各种国际外交服务机构的网络攻击。在调查过程中,一个大型的网络间谍网络被揭露和分析,我们称之为“红色十月(RedOctober)”(来源于著名的小说《猎杀红色十月»)

Red October的攻击者从数个国家的外交、政府、军事、科研机构、石油公司、贸易公司等中窃取了大量的机密信息,这些国家主要是东欧国家、前苏联成员国和中亚国家。

在卡巴斯基公开揭露Red October的间谍活动之后,该组织立即中断了他们的行动,还把他们攻击时所使用的命令与控制(C&C)服务器报废了。研究人员称,像如此大规模的网络间谍活动,攻击者们往往投入巨大,因而不会轻易罢手。于是仅仅在Red October暂停了数月后,改头换面后的Red October——“云图(CloudAtlas)”出现了。

[[124399]]

“红色十月”和“云图”的异同

自2014年8月份以后Red October就再也没有出现过。近期研究者们检测到一系列利用CVE-2012-0158而发动的攻击以及一个不同寻常的恶意程序,研究者们把这次的网络攻击活动命名为“云图(CloudAtlas)”。

研究者们注意到CloudAtlas与Red October有很多相似之处,如都使用了同种钓鱼攻击:都使用了名为Diplomatic Carfor Sale.doc的恶意文件,针对相同的攻击目标,使用相同的TTP(技术、策略和程序),相同的攻击工具。这么多相似之处,使我们不得不相信CloudAtlas就是Red October的“复刻版”。

云图:网络间谍活动“红色十月”重现江湖

利用云服务器作为攻击设施

但是他们之间也有一些不同之处,如加密算法:RedOctober使用的是RC4,CloudAtlas使用的是AES。

专家们还发现了CloudAtlas的一些特别之处,CloudAtlas使用的命令与控制(C&C)服务器来自瑞典云供应商CloudMe,也就是说攻击者利用云服务器与受害者的机器进行网络通信。云服务提供商CloudMe已在其官方Twitter上证实了这一点,他们现在正在关闭所有与CloudAtlas C2有关的账户。

​ 

云图:网络间谍活动“红色十月”重现江湖

 ​​ 

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2014-12-15 09:23:36

2015-05-13 14:55:25

2013-01-25 13:47:07

2013-01-31 10:45:24

2015-09-23 11:22:49

2013-05-23 09:18:01

2023-03-29 12:29:28

2011-08-01 08:59:08

2013-01-25 13:39:54

2011-02-25 09:33:46

2015-12-15 15:07:06

2020-09-21 10:52:09

网络间谍恶意软件攻击

2014-10-15 14:22:11

2022-08-11 15:58:20

间谍信息泄露

2012-08-21 15:11:27

2023-08-28 16:01:03

2023-11-19 21:22:52

2014-05-29 09:49:32

2010-09-29 09:14:07

Office for
点赞
收藏

51CTO技术栈公众号