【APT威胁】荷兰活跃APT大盘点

发布时间 2018-10-17

原文链接:

https://securelist.com/threats-in-the-netherlands/88185/


引言


2018年10月4日,荷兰军事情报与安全局(MIVD)举行新闻发布会披露了一起针对禁止化学武器组织(OPCW)的网络攻击事件。该攻击是由APT组织Sofacy(又名APT28或花式熊)发起的。根据MIVD,四名嫌犯在试图入侵OPCW网络时被当场抓获。该组织之前在荷兰出现过,因此这一次的攻击活动也并不令人惊讶。然而,令人惊讶的是,除了Sofacy之外,我们并没有在荷兰发现更多的APT组织(至少与中东地区相比,荷兰APT组织的数量相当稀少)。仔细审视之后,我们认为这相当古怪,因为荷兰具有多个大型跨国公司和高科技企业,还有很多潜在的战略目标,这些都可能成为攻击者的目标。我们决定对针对或影响荷兰的网络威胁活动进行进一步的审视。


对一个APT活动进行总结已十分困难,更何况是对影响一个国家的所有APT活动进行综述。第一个困难就是,我们只能看到我们所能看到的。也就是说我们只能从自己能访问的信息来源获取数据,例如我们的客户通过KSN自愿共享的数据(这些数据还要与特定的APT相关)。因此,与其它安全厂商一样,我们的遥测技术也是不全面的。


一种改进的方法是利用沉洞数据(sinkhole)。当一个APT使用的域名到期时,研究人员会注册该域名并将其流量引入一个沉洞服务器。这种情况很常见,我们在跟踪APT组织时也沉洞了不止一个域名。与其它信息来源(例如KSN和多功能扫描服务)相比,沉洞数据具有很多优点。例如,在某些情况下,你可以通过它更好地了解受害者的情况。当然沉洞数据也有缺点,由于这些数据可能存在大量的误报(例如其它研究人员正在调查该恶意软件),因此必须对其进行过滤。这种过滤处理十分麻烦,因为如果只基于IP地址及其请求进行判断,那么就很难得到一个有效的verdict。


研究方法


本文中收集了过去四年内(2014年9月至2018年9月)所有荷兰IP的沉洞数据,共计约8.5万条。当然这个数量对手动验证来说太多了。因此我们的第一步就是数据过滤,尤其是过滤掉那些属于扫描器的数据。其中一些数据相对而言较易过滤(例如所有的TOR出口节点,所有的ZmEu扫描器流量等),另一些则复杂一点。


为了过滤掉扫描器流量,去掉了那些IP地址匹配超过4个标签的数据条目(每一个标签代表了一个不同的恶意活动)。这么做之后,还剩余约1.1万条数据。这大概减少了工作量的77%,但我们还有很长的路要走,因此我们采取了一些更为激进的过滤措施。


下表列出了每个IP命中的标签数。



本文的目的是综述在荷兰活跃的APT组织及其兴趣所在,这需要正例(TP)而不是反例(FP)。对于剩余的数据条目,我们进行了反向DNS查询并保存了其ASN信息。在被动DNS数据库中检查了该IP地址是否具有与该IP地址首次进入沉洞数据库时相同的域名。如果域名相同,则保留该条目;反之则尝试找出该IP属于哪个组织。确定沉洞数据中的攻击是真阳性(TP)还是假阳性(FP)的一种方法是找出受害者。因此我们反向查询了其IP地址,检查在该IP地址首次进入沉洞数据库时,其DNS记录是否存在于我们的被动DNS数据库中。如果不存在,则该条目被忽略。我们采取的第二个步骤是去掉无法调查的条目(例如属于ADSL连接的IP地址)。尽管这种方法过于简单粗暴,会忽略掉部分TP,但由于资源有限,调查所有的条目是不现实的,因此我们仍然决定采用该措施。最终结果:还有约1000条数据等待调查。


此时,对于剩余的条目,将其原始请求在APT模板请求中进行检索。最后,对于列表中剩余的IP地址,尝试将其与公司或机构进行关联。如果关联成功,则该条目最终被保留并标记为TP。


我们还检查了我们的APT报告,以了解位于荷兰的攻击目标并将这些结果添加到综述中。


研究结果


通过以上方法,我们发现以下APT组织在荷兰活跃或曾经活跃:


1、BlackOasis(黑色绿洲)


BlackOasis 是我们自2016年5月以来一直跟踪的APT组织。该组织主要使用商业恶意软件FinFisher(由GammaInternational公司开发的商业恶意软件,主要出售给国家和执法机构LEA)。与其它APT组织显著不同的是,BlackOasis利用过多个零日漏洞:2015年以来至少已使用过5个零日漏洞。该组织对政治很感兴趣,其攻击目标主要是中东的国家。我们还曾观察到该组织针对联合国成员以及区域新闻记者的攻击。最近的观察结果表明该组织的攻击目标转移至俄罗斯、英国和现在的荷兰等国家。其在荷兰的攻击目标也符合其兴趣的转变。


2、 Sofacy(花式熊)


Sofacy,又名兵风暴、花式熊等,是一个活跃的APT组织。自从2011年以来我们一直在跟踪该组织。Sofacy以利用鱼叉式钓鱼邮件感染目标和积极部署零日漏洞而闻名。在2015年,趋势科技的研究人员发布报告称该组织针对MH17调查小组发起攻击。去年,Volkskrant又发布报告称该组织试图感染荷兰的多个政府部门。然后就是2018年10月4日的新闻,四名Sofacy成员在2018年4月试图入侵OPCW时被捕。尽管我们对后两起事件所知不多,但我们也观察到多个位于荷兰的目标被Sofacy感染。有趣的是,我们观察到Xagent(Sofacy的一个模块)的部署在在2018年4月之后越来越少。尽管在2018年8月还有一起事件中部署了Xagent,但总体来看该组织在2018年4月至6月期间开始转向新恶意软件的部署。


3、Hades(哈迪斯)


Hades(冥王哈迪斯)是在2018年初针对平昌冬奥会发起攻击的APT组织,该组织使用的恶意软件是Olympic Destroyer。由于我们的几条Yara规则与该恶意软件100%匹配,因此最初我们认为该恶意软件与犯罪团伙Lazarus有关。然而,经过仔细调查之后,我们发现了指向不同APT组织的多个错误标签。几个月后,在2018年5月(OPCW事件发生后不久),我们发现Hades卷土重来,并且这次主要针对金融机构和化学威胁预防实验室。鉴于这种兴趣上的转变,我们认为该组织转变为针对荷兰的目标也不令人意外。


4、Buhtrap


Buhtrap是主要针对金融机构的犯罪团伙之一,其最终目的是窃取资金。该组织的工具、技术和流程(TTP)与传统的APT组织区别不大。和Carbanak、Tyupkin一样,Buhtrap最初也是主要针对俄罗斯和乌克兰的金融机构,但随后转变为针对其它地区的目标。我们在2017年在荷兰发现Buhtrap组织的恶意活动。


5、The Lamberts


2017年3月,维基解密披露了Vault 7系列的泄密文档。其中一些文档描述的恶意软件类似于犯罪团伙the Lamberts使用的恶意软件(一个使用了几年的toolkit,其大多数活动发生在2013年和2014年)。我们曾经调查过的一个TheLamberts的变体是“GreenLamberts”。该恶意软件主要针对伊朗,但令人惊讶地是我们在荷兰发现了不少的感染事件。我们对这些荷兰受害者的情况并不了解,但是,Lamberts在荷兰活跃的事实表明,APT组织的兴趣点可能会转移,而且对APT组织来说国界是不存在的。


6、Turla


Turla又名Uroboros,是一个非常活跃的APT组织。该组织与许多著名的安全事件有关,例如2008年针对美国中央司令部的攻击以及RUAG(一个瑞士的军事承包商)数据泄露事件。该组织的其它目标还包括政府部门和政府机构等。有鉴于此,荷兰成为Turla组织的目标也十分符合逻辑。事实上,如果没有在荷兰发现Turla组织的感染活动才令人惊讶。7、 Gatak

Gatak,也被称为Stegoloader或GOLD,是一个主要通过水坑攻击窃取数据的组织。该组织至少从2015年以来一直活跃,其主要对知识产权感兴趣。尽管使用水坑攻击意味着该组织无法完全控制感染目标,但其也成功袭击了多个高价值的目标。我们的沉洞数据库表明其中一个高价值的目标位于荷兰。


8、 Putter Panda(推杆熊猫)


2015年,荷兰芯片制造商ASML遭犯罪团伙Putter Panda入侵。ASML承认了该次事件并声称一个文件被盗。该公司没有向公众披露更多细节,尽管有一个电视节目“KRO reporter”试图还原事情的真相。ASML是荷兰仅有的少数高科技公司之一。该公司遭到入侵的事实清楚地表明外国攻击者已经意识到并且对荷兰的工业间谍活动十分感兴趣。


9、Animal Farm(动物农场)


AnimalFarm是一个至少从2009年开始活跃的犯罪团伙。该APT组织在过去数年内攻击了多个不同的企业,受害者包括政府机构、军事承包商、活动分子和记者等。尽管该组织主要针对法语国家,但我们仍然在荷兰发现了一些感染案例。


结论


虽然我们对荷兰的网络威胁活动的见解仍不完整,但我们的研究结果也已令人惊讶。一些我们原本没有想到的APT组织也在该国活跃(例如Lamberts)。经过进一步的思考,尤其是将位于荷兰的潜在攻击目标与这些APT组织的兴趣所在进行比较,我们认为它们在荷兰的活动也是符合其行为逻辑的。


无论是意料之中还是意料之外,这些APT在荷兰出现本身对于企业而言就是一个了解网络空间最新发展趋势(尤其是通过威胁情报)的良好参数。因为既然你已经知道了这些APT组织在做什么、它们针对了哪些企业以及它们使用的TTP,那么你就能够提前一步去实施相应的防护措施。


我们在沉洞数据库中发现了令人吃惊的受“常见恶意软件”感染的企业数量,这表明相应的预防措施很有必要。这些被感染的企业包括航空公司、机场以及其它主要公司等(应该注意的是,不仅仅是荷兰,其它国家的情况也差不多)。这再次证明了APT组织入侵有价值的目标是多么地容易,以及每一个人都应该保持基础的网络安全习惯。


最后要谨记,对APT组织进行调查之时应该谨慎对待得出的结论,尤其是在归因方面。例如,虽然我们在OPCW(禁止化学武器组织)攻击事件后短时间内发现了恶意软件OlympicDestroyer针对化学威胁预防实验室的攻击活动,但这并不能证明这两者是同一个攻击者所为,甚至不能证明这两者是相关的。无论如何,如果你因为认为自己可能是Sofacy的潜在攻击目标而在网络中增强安全措施以预防OlympicDestroyer(也有可能是相反的情况),这也不失为一个好的举措。