網絡間諜活動月光迷宮已演變成Turla

thomas rid經過大量的調查分析，在近期的安全分析師峰會(sas)報告中指出：moonlight maze(月光迷宮)網絡間諜們已經演變成了目前的turla。

網絡間諜活動月光迷宮已演變成turla-e安全

1996年10月7日,美國科羅拉多礦業大學遭遇網絡入侵。入侵者利用裝置上安裝的sun os4作業系統中的漏洞襲擊了一台位于該校布朗大樓(brown building)内、昵稱為“baby_doe”的電腦。他們通過這台電腦輾轉進入美國國家航空航天局、美國海軍和空軍總部及遍及全美的高校和軍事機構的其他電腦。

此項間諜行動持續了數年,搜集了大量敏感資訊。後續調查發現,在此期間搜集的資料如列印成稿,其堆積的高度可堪比華盛頓紀念碑。調查者還注意到,大量的入侵行動發生在夜間。基于這一事實及入侵者襲擊網絡的交錯複雜性,此次事件得名“月光迷宮”。随着調查的繼續深入,入侵者漸出水面:俄羅斯特工。

嚴格意義上說,“月光迷宮”行動已停止。但此次間諜活動的代号蜂擁出現在雜志封面,甚至調查者所穿的t-shirt上。但這個代号已經成為了針對美國境内大量目标的俄羅斯網絡間諜行動的代表。

年度卡巴斯基實驗室在會議期間， rid、costin raiu 和 juan andres guerrero-saade 提出了更多的證據，證明明确講俄語的 apt，熟練的通過衛星鍊路劫持、政府網站水坑攻擊、隐蔽後門、 rootkits,等手段竊取敏感西方目标機密。而上述一切似乎與 agent.btz有着密不可分的聯系。

agent.btz是virus bulletin 2014年由 kurt baumgartner發現的樣本，該樣本使用了衛星ip劫持技術，而這與後來turla更新版使用的技術極為相似。

早期的月光迷宮針對諸如 sun solaris的unix 系統，而今天的 turla apt目标則是windows ，這麼大的差距間是如何被關聯起來的?

2014 年卡巴斯基宣布發現了 penquin turla(第一代)，當時它利用的是開放源碼 loki2 後門。loki2 是alhambra 和 daemon9 在90年代後期于phrack (雜志)釋出的。(penquin仍然在西方盛行，最新的版本1個月前在德國某系統中被發現)

guerrero-saade稱：目前還沒有看到任何其它攻擊者利用該工具，這是月光迷宮攻擊者的最愛~!在卡巴的45個月光迷宮的樣本中9個利用了該後門。

他同時指出：可怕之處在于，20多“歲”的惡意軟體在重新包裝後仍然有效。編寫于 1999 年，而連結的二進制檔案，例如 linux 2.2.0 和 2.2.5 libpcap 版本 ，21 世紀初的openssl 從。從 2011年到上個月針對德國一個目标中仍然被發現了。

有趣的是偵察背後的故事：

誰有多年前被月光迷宮破壞的 solaris 伺服器呢?來自英國的管理者david hedges幫了大忙。他與倫敦警察、fbi合作，儲存了伺服器的鍵盤記錄和二進制檔案移動記錄，現在被稱為 hrtest。

thomas rid, david hedges, daniel moore, and juan andres guerrero-saade

研究人員找到hedges時，他已經是半退休狀态了。但hedges的伺服器仍然運作，他共享了通路日志，以及 43個月光迷宮攻擊中的二進制檔案和一個工具包。(這個管理者 太 牛 了 吧~!)

研究人員稱，下一步會把重點放在一個代号為風暴雲(storm cloud)的計劃中。通過超越“曆史價值”的了解，審視惡意軟體，發現“蛀蟲”。

本文轉自d1net（轉載）