2015年7月, 義大利間諜軟體製造商Hacking Team創建的漏洞利用庫組件遭洩露, 駭客們陸續撿漏樂開了花。
Hacking Team是一家專注于開發網路監聽軟體的公司, 他們開發的軟體可以監聽幾乎所有的桌上型電腦和智慧手機, 包括Windows、Linux、Mac OS、iOS 、Android、Blackberry、Symbian等等, Hacking Team不僅提供監聽程式, 還提供能夠協助偷偷安裝監聽程式的未公開漏洞(0day), 真是全套服務。
目前政府能夠通過反病毒產品檢測到這些洩露的代碼構建的工具, 這要歸功於協助政府進行監控活動的Hacking Team。
儘管如此, 網路安全專家仍然非常苦惱。 駭客們除了將該代碼寫入自己的惡意軟體中, 他們中人完全有能力自行開發更高效的漏洞利用,
Cylance公司威脅情報總監喬·格羅斯卻認為規避安全檢測並沒有多大意義。 因為儘管發現地下犯罪組織正在這樣做, 也不會立刻懷疑這是高級可持續性威脅(APT)的做法。 ”
Hacking Team被洩露的漏洞利用庫元件具有很大的利用價值
Phineas Phisher自稱是一名黑帽子駭客。
iSight間諜分析總監約翰•胡爾特奎斯特稱, Hacking Team資料洩露的幾個小時內, 因2016年成功入侵美國民主黨國家委員而“名聲大噪”的俄羅斯精英駭客組織“APT28”(或Fancy Bear)不僅成功搜尋到被泄的代碼, 而且已經應用到駭客行為中。
Synack的研究總監派翠克•沃德爾稱上個月發現一個APT28近期被曝光的間諜工具。 這款工具是專門設計用來將代碼注入蘋果Mac OSX軟體和iPhone iOS備份協定中, 而其中就包含Hacking Team的代碼。 他們這樣做或許是因為懶惰,
混淆歸因在駭客行為中很“流行”
Cylance近期發佈了研究報告, 分析了駭客利用Hacking Team洩露的代碼簽章憑證, 通過惡意軟體對日本公司和個人實施持續性的高級駭客行動。 格羅斯發表博文探討了Cylance的研究。 他認為攻擊日本企業和個人的真正的幕後黑手是“蛇酒”(Snake Wine)。 攻擊者使用Hacking Team的代碼也許是故意混淆歸因, 隱藏身份。
“蛇酒”之前通過中國的電腦發起過一些網路攻擊, 但其之前曾採用Unwire技術和其它知名企財團特有的簽名讓調查人員無跡可尋。
卡巴斯基實驗室的高級安全研究員穆罕默德表示, 因惡意軟體發展人員的指標(Indicator)可以偽造, 要在互聯網上找到威脅攻擊者的歸因相當困難。
Cylance稱按照卡巴斯基實驗室安全研究員的推理,
CIA也曾對Hacking Team漏洞利用庫元件展開研究
維琪解密最近公開了據稱是CIA的駭客工具, APT28和“蛇酒”可能只是搜索Hacking Team代碼庫(被泄)的駭客組織中的一員。
維琪解密本次公開的一個CIA內部檔(聲稱從國防承包商處獲得)中有明確的證據證明:
自2015年8月起CIA為了學習和利用被洩露的Hacking Team漏洞利用庫元件, 也對這些資料展開研究和審查, 他們針對GitHub一些庫, 構建、測試了原始程式碼。 並建議如果對原始程式碼中發現的一些實現(Implementation, E安全百科:在電腦科學中, 實現是指通過電腦程式設計和開發,
但這一說法尚未得到CIA的證實。
雖然FBI、美國禁毒署和美國軍方過去採購了Hacking Team的服務和產品, 但尚不清楚CIA會如何利用Hacking Team被洩露的代碼壯大自己。
E安全注:本文系E安全獨家報導, 轉載請聯繫授權, 並保留出處與連結, 不得刪減內容。