俄20年前的網絡工具仍能對基礎設施發起網絡攻擊

隻要仍然有效，攻擊者們顯然更樂于複用既有代碼及工具，并且屢試不爽。目前，這一傳統已再次被證明。

研究人員發現，并且有證據表明現代windows pc攻擊工具中的部分代碼與20年前針對solaris的入侵方案存在共通之處。這意味着某網絡間諜組織仍能夠成功利用20年前就已出現的網絡工具對基礎設施發起惡意活動。

俄黑客組織turla或與上世紀“月光迷宮”網絡間諜組織相關

上世紀九十年代中期至末期，美國軍事與政府網絡、大學乃至其它各類研究機構曾遭遇過一波名為“月光迷宮(moonlight maze)”的攻擊浪潮。自fbi與美國國防部于1999年公布相關調查結果之後，月光迷宮随即消失。但安全相關人士表示其背後的網絡間諜組織從未徹底滅亡。

turla(某俄羅斯攻擊組織，亦被稱為惡毒熊、uroburos以及snake)可能正是當年轟動一時的月光迷宮幕後黑手，但直到最近這一猜測才逐漸轉化為結論。

目前，卡巴斯基實驗室與倫敦國王學院的研究人員們已經找到了将turla與月光迷宮加以關聯的技術性證據。

在對penguin turla(一款由turla開發的linux後門工具)以及月光迷宮攻擊當中所使用的開源資料提取工具後門進行對比分析之後，研究人員們得出了令人信服的結論。

俄20年前的網絡工具仍能對基礎設施發起複雜惡意攻擊-e安全

距離近20年兩者均使用開源loki2程式

卡巴斯基實驗室研究員胡安·安德烈斯·格雷羅·薩德解釋稱，二者皆使用了曾于1996年發表在《phrack》雜志上的開源loki2程式。月光迷宮後門并未被直接部署在現代攻擊活動當中，但事實上penguin turla确實使用了同樣的代碼片段。

格雷羅·薩德指出，“這是一款有趣的工具，而且其明顯與月光迷宮出于同一批攻擊者之後”。他同時解釋稱，研究人員對43個月光迷宮二進制檔案進行了研究，并從其中發現了9個基于loki2的後門執行個體。

從表面上看，月光迷宮與turla之間似乎并無共通之處。月光迷宮主要針對sun solaris系統，并利用受感染裝置立足同一網絡搜尋更多潛在受害者。嗅探器元件會收集受害裝置上的全部活動，并為攻擊者建立一份完整的惡意活動日志記錄。卡巴斯基實驗室的研究人員們在一篇博文中指出，這相當于攻擊者自行創造了一份完備的數字足迹。

相比之下，turla則将矛頭指向windows裝置，且擁有現代惡意工具中的多種常見功能。其中最明顯的是能夠劫持未加密衛星傳輸鍊路，并以靜默方式滲透至受害者網絡中竊取資料。然而，penguin turla亦常被用于通過*nix伺服器從入侵網絡内提取資料，進而實作二次攻擊。

20年的“老姜”黑客工具仍然很辣 令人擔憂

各類網絡間諜活動與高複雜度攻擊行為并非總是使用最新代碼。攻擊組織往往會對其武器儲備庫中的代碼進行回收與複用，并通過操作演進添加新的功能。

研究人員們得以通過後門代碼成功将其與loki2(由釋出于1999年的linux 2.2.0及2.2.5版本編譯而成)關聯起來，另外其中的二進制libpcap與openssl則來自2000年初。這批代碼目前仍在使用，卡巴斯基實驗室發現就在上個月penguin turla還曾利用其對德國目标開展攻擊。

格雷羅-薩德表示，這款已經擁有20年曆史的黑客工具仍然能夠正常起效，并成功對現代作業系統與網絡施以打擊，這無疑“令人恐懼”。月光迷宮攻擊者無需利用任何複雜的手段以繞過反病毒方案或者安全防禦體系。更令人不安的是，舊有代碼通過接入舊有庫重新在penguin turla中再次複活，并仍可用于攻擊現代計算裝置。

将這兩輪攻擊行為關聯的另一證據來自月光迷宮攻擊期間受到影響的一台伺服器。在檢測到入侵活動之後，調查員們開始記錄伺服器上發生的一切事件，當時攻擊者正利用其作為中繼伺服器。調查員們對1998年到1999年間6個月中的攻擊事件進行了全程追蹤，包括檢視攻擊記錄、判斷攻擊手段。而其系統管理者多年來一直儲存有驗證鏡像，并與研究人員們分享了這部分資訊。

格雷羅-薩德表示，他們的工作就像是挖出了一個時間膠囊。

月光迷宮或為俄政府支援型黑客組織

雖然月光迷宮與近期turla惡意活動間的關聯已經相當确鑿，不過研究人員并沒有斷言稱攻擊者為同一個組織。卡巴斯基實驗室并沒有參與歸因工作，但就此發表了一些有趣的論斷。

與卡巴斯基實驗室合作的國王大學研究員托馬斯·裡德表示，fbi曾經于上世紀九十年代對俄羅斯方面進行調查，且相關調查人員認定月光迷宮屬于俄羅斯政府授意下的攻擊産物。

研究人員們還将繼續深入挖掘，進而尋找更多能夠将月光迷宮與turla聯系起來的技術性證據。

本文轉自d1net（轉載）