示意圖。Original photo by Blogtrepreneur (CC BY 2.0) (https://www.flickr.com/photos/143601516@N03/29402709463/in/photostream/)

英國國家網路安全中心(National Cyber Security Centre,NCSC)與美國國安局(National Security Agency,NSA)在本周出版一聯合報告,指出俄羅斯駭客集團Turla盜用伊朗駭客集團OilRig(APT34)的攻擊工具,還入侵OilRig的攻擊架構與命令暨控制(C&C)伺服器,並對全球逾35個國家展開攻擊,且他們相信OilRig渾然不知自己被駭了。

根據該報告,Turla在2017年底就盜用了OilRig所開發的Neuron與Nautilus工具,以及基於ASPX的後門程式,再佐以自己的Snake Rootkit發動網路攻擊,該俄羅斯駭客集團的攻擊行動主要在於間諜行為。

Turla先在已被Snake危害的系統上部署來自OilRig的工具,之後再於全球掃描被ASPX後門程式攻陷的系統,再利用這個缺口部署Neuron與Nautilus,估計至少有來自35個國家的各式系統已被植入ASPX。這意味著有許多先被OilRig攻陷的系統,隨後也引來了Turla。它們涵蓋政府、軍事、科技、能源與商業組織,而Turla的目的則是在竊取這些組織的智慧財產。

此外,Turla也入侵了OilRig的攻擊架構,盜走OilRig的資料、鍵盤紀錄、受害者名單、工具,以及存取其架構的憑證,甚至直接從OilRig的C&C伺服器發動攻擊。

由於NCSC與NSA並未公布或者是尚未辨識Turla上述行為的時間點,所以並不確定其先後順序。


Advertisement

更多 iThome相關內容