• 黑客QQ群的黑客对我们的核机密这么感兴趣?
  • 发布时间:2018-08-10 14:23 | 作者:找黑客帮忙 | 来源: | 浏览:1200 次
  •  

    黑客QQ群的黑客对我们的核机密这么感兴趣?前些天,有人发来一份网络安全分析报告,黑客QQ群一份看似稀松平常的 Word 文档,可刚翻到封面,我的好奇心一下子被撩起来……它的封面是这个样子:

     

    黑客QQ群

     

    这是一份国际网络黑客组织报告,业内通称「APT 报告」。

    所谓APT ,全称是“高级持续性威胁(Advanced Persistent Threat)。

    高级,既指目标高端,通常是政府要员、公司高管之类;也指水平高超。

    持续性,短则十天数月,长则十年八载甚至不惜一切代价也要拿下。

    譬如 “永恒之蓝” 漏洞的始作俑者“方程式组织”,以及被怀疑干涉美国选举的 “APT28”组织,都可称之为 “APT组织”。

    而这次披露的黑客组织,据说长期关注我国核工业和科研领域,首次发现于2011年,持续活动了整整8年,至今仍有活动迹象……

    在幺哥的认知里,这是个典型的APT组织。

    我很好奇,问对方:“这个组织你们是刚刚发现的吗?”

    黑客QQ群的回答是:“针对该组织的大部分活动,3年前就已经写好了报告,只不过由于种种原因,最近才重新整理并发布出来。”

    正如他所说,这是一份“旧”报告。但它就像是一坛陈酿,一筒卷轴,年头越久越让人着迷。

    我将展开这筒卷轴,并尽力讲得通俗易懂,将一个真实的APT组织还原在你的面前……

    (一)步步惊心

    2018年4月8日,博鳌亚洲论坛年会在海南召开,主题为“开放创新的亚洲,繁荣发展的世界”,全球政界、商界、学界和媒体界知名人士汇聚。

    老王刚从海南参会回来,就收到了一封来自博鳌亚洲论坛秘书处的感谢信。

    发件人:博鳌亚洲论坛秘书处 <boaostaff[@]163.com>

     

    黑客QQ群

     

    (点击查看大图)

    邮件内容很简单,大意是:

    尊敬的贵宾,博鳌亚洲论坛周秘书给您写了一封感谢函,感谢您对本次会议的支持,祝顺利。

    博鳌亚洲论坛秘书处

    2018年4月13日

    “秘书处还挺周到,还发了感谢信。” 老王呢喃道。

    他不知道,这封所谓的“感谢函”,是黑客的钓钩。会议才刚结束几天,黑客们又行动了。

    这是一次常规操作——鱼叉式钓鱼,但内容精细,手法娴熟。

    收到“参会感谢信”邮件的这些人,确实刚参加完会议,而论坛的秘书长也确实姓周。

    邮件附件是一个RAR压缩包文件,一旦点开里头的 LNK 文件,计算机随即中招,受害者立刻沦为黑客长期监控的对象。

     

    谁家的黑客,对我们的核机密这么感兴趣?

     

    除了这种针对特殊会议活动的攻击,这帮黑客组织也有一些日常的钓鱼操作。

    比如下面这个文档来自一封鱼叉邮件的附件:

    乍一看,图标和文件后缀名都是Word 文档,常人不加思索就会点开。可其实它是一个木马文件。

    攻击者用了一种RLO控制符来显示中东文字,而中东文字恰恰从右到左显示,由此木马文件的真实拓展名 RCS 被隐藏。

    当受害者打开文件的瞬间,木马执行。此时更细腻的操作来了,为了不让受害者生疑,木马会释放出一个详细内部通讯录文件。

     

    谁家的黑客,对我们的核机密这么感兴趣?

     

    这个通讯录,每一条都是真的,是黑客事先从别的地方偷来的。

    显然,攻击者在发起攻击之前,显然已经充分了解目标,准备好了一切物料。

    除了将木马伪装成通讯录,有时也会伪装成智库文件、贺卡之类的文件。

     

    谁家的黑客,对我们的核机密这么感兴趣?

     

    钓鱼邮件是所有黑客的惯用伎俩,相当于武术里最普通的一拳一脚。

    但真正的高手,未必舞刀弄枪大张旗鼓。往往只是最简单的一招就置人于死地。

    关键在于快、准、狠,黑客亦是如此。

     

    谁家的黑客,对我们的核机密这么感兴趣?

     

    (二)危机四伏

    在长达八年的时间,类似事件陆续发生。仅根据360追日团队已掌握的情况,就多达10次。

    出于保密不便提及具体单位,各位浅友可以快速浏览一下:

    1)20113月,首次发现与该组织相关的木马,针对政府相关机构进行攻击。

    2)201111月,对某核工业研究机构进行攻击。

    3)20121月,对大型科研机构进行攻击。

    4)20123月,对某军事机构进行攻击。

    5)20126月,对国内多所顶尖大学进行攻击。

  • 相关内容
-->