示意圖,Photo by Felix Wegerer on Unsplash

自稱為影子掮客(Shadow Brokers)的駭客組織,宣稱駭進了美國國安局(NSA)旗下的秘密網路攻擊組織「方程式」(Equation Group),並在2017年釋出了NSA所使用的各種攻擊工具,不過,卡巴斯基實驗室(Kaspersky Labs)本周指出,他們在影子掮客所公布的文件中,發現了存有大量先進持續性威脅(Advanced Persistent Threat,APT)集團的名單,而其中之一即為DarkUniverse。

根據ZDNet的報導,NSA固定會偵測被駭系統上其它的ATP駭客,大約蒐集了44個APT集團,有許多是名不見經傳的,也透露出NSA對於由政府支持之駭客集團的了解,可能勝過不少資安業者。

卡巴斯基的分析則顯示,DarkUniverse的活動期間為2009年到2017年,針對特定目標發動魚叉式網釣攻擊,每封郵件都是替不同的攻擊對象量身打造,再以Office檔案夾帶惡意程式。

DarkUniverse所使用的其中一個惡意模組為glue30.dll ,主要的功能為鍵盤側錄,它會攔截未加密的POP3流量以蒐集受害者的電子郵件通訊與憑證。另有一個功能強大的dfrgntfs5.sqt模組,它可拍攝螢幕畫面,在IE注入介殼程式以與駭客所掌控的C&C伺服器通訊,掃描區域網路,蒐集所有系統資訊,也能自動更新或移除,具備中間人攻擊能力,還能設定機器的DHCP與DNS。

研究人員循線找到了20名被DarkUniverse鎖定的對象,他們分別位在敘利亞、伊朗、阿富汗、坦尚尼亞、衣索比亞、蘇丹、俄羅斯、白俄羅斯與阿拉伯聯合大公國,身分可能是平民或軍事組織,研究人員相信這8年來的受害者數量應該遠高於此。

卡巴斯基表示,DarkUniverse是個有趣的網路間諜案例,所使用的惡意程式包含了可蒐集所有使用者與系統資訊的必要模組,而且看起來是從零到有的研發,駭客不但資源豐富,還會持續更新惡意程式,使得2017年的惡意程式樣本與2009年的截然不同。

不過,DarkUniverse已經在2017年停止攻擊行動,猜測可能與事跡敗露有關,或者只是決定要採用更現代化的攻擊手法。


Advertisement

更多 iThome相關內容