一、概覽

隱秘山貓是一個(gè)專(zhuān)業(yè)的黑客組織，具有超強(qiáng)的攻擊能力。他們?cè)ハ萘嗣绹?guó)安全公司Bit9的數(shù)字證書(shū)簽名系統(tǒng)，使他們的間諜程序變得合法。攻擊Bit9只是他們?cè)谶^(guò)去的四年時(shí)間里所進(jìn)行的眾多動(dòng)作之一。

隱秘山貓還提供了“黑客雇傭”服務(wù)，職責(zé)就是從眾多的企業(yè)和政府目標(biāo)中檢索出特定的需求信息。他們組織的工作效率很高，可以同時(shí)執(zhí)行多個(gè)任務(wù)，可以攻破全球安全防護(hù)做的最好的企業(yè)組織，可以迅速的改變自己的戰(zhàn)術(shù)以實(shí)現(xiàn)對(duì)目標(biāo)的攻陷。為實(shí)現(xiàn)對(duì)特定目標(biāo)的攻擊他們通常使用自己設(shè)計(jì)的多個(gè)木馬程序：后門(mén)程序Moudoor常用于大型活動(dòng)，并且這個(gè)程序已經(jīng)在全球網(wǎng)絡(luò)廣泛分布；木馬Naid是保留給特殊行動(dòng)，用來(lái)打擊高價(jià)值目標(biāo)。隱秘山貓利用尖端的攻擊技術(shù)，使得他們?cè)诒姸嗪诳徒M織中脫穎而出。

本文會(huì)對(duì)隱秘山貓這個(gè)組織進(jìn)行深入了解，包括他們的攻擊目標(biāo)和動(dòng)機(jī)、通過(guò)他們的活動(dòng)來(lái)了解他們的攻擊能力和攻擊策略。

二、背景

2013年2月，Bit9的一份聲明中披露：在2012年7月，他們的網(wǎng)絡(luò)系統(tǒng)曾經(jīng)被第三方間諜程序所破壞。這個(gè)名叫隱秘山貓的知名組織和“極光行動(dòng)”大有關(guān)系，當(dāng)時(shí)他們利用SQL注入攻擊并進(jìn)入了Bit9的網(wǎng)絡(luò)系統(tǒng)。他們的間諜程序使得他們能夠成功入侵國(guó)防工業(yè)部門(mén)。

需要注意的是，Bit9被入侵只是VOHO大型水坑攻擊的一小部分，VOHO攻擊影響到了美國(guó)上百家企業(yè)和組織。此外，由于這個(gè)令人難以置信的組織，使得VOHO運(yùn)動(dòng)只是眾多攻擊運(yùn)動(dòng)中的一個(gè)。每個(gè)攻擊運(yùn)動(dòng)都是為了獲取世界上最富有、技術(shù)最先進(jìn)國(guó)家的政府和商業(yè)組織的信息。

極光行動(dòng)：OperationAurora或歐若拉行動(dòng)，2009年12月中旬可能源自中國(guó)的一場(chǎng)網(wǎng)絡(luò)攻擊。遭受攻擊的除了Google外，還有20多家公司：其中包括Adobe、Juniper、雅虎、賽門(mén)鐵克、陶氏化工。這場(chǎng)攻擊過(guò)后，Google提出了它的新計(jì)劃：它將“在必要的法律范圍內(nèi)”，于中國(guó)運(yùn)營(yíng)一個(gè)完全不受過(guò)濾的搜索引擎；同時(shí)Google也承認(rèn)，如果該計(jì)劃不可實(shí)現(xiàn)，它將可能離開(kāi)中國(guó)并關(guān)閉它在中國(guó)的辦事處。

三、隱秘山貓組織簡(jiǎn)介

隱秘山貓組織從2009年以來(lái)就一直在運(yùn)作，很有可能就是一個(gè)提供“黑客雇傭”服務(wù)的專(zhuān)業(yè)黑客組織。他們完全有能力同時(shí)攻擊多家企業(yè)或組織。他們的工作有條不紊并且效率很高?；谶@些因素，他們會(huì)是一個(gè)相當(dāng)具有規(guī)模的組織，大概有50-100人組成。

這個(gè)組織的成員擅長(zhǎng)于系統(tǒng)攻擊，他們使用兩個(gè)精心設(shè)計(jì)的木馬程序采取雙管齊下的策略，利用大量的弱點(diǎn)滲透來(lái)對(duì)目標(biāo)的知識(shí)產(chǎn)權(quán)進(jìn)行針對(duì)性的攻擊：

Moudoor團(tuán)隊(duì)負(fù)責(zé)散發(fā)Backdoor.Moudoor木馬程序，有一個(gè)叫“Gh0stRAT”的定制版本木馬，在橫跨多個(gè)行業(yè)的大規(guī)?；顒?dòng)中經(jīng)常使用。散發(fā)Moudoor程序需要有相當(dāng)數(shù)量的人員協(xié)同工作，在攻陷目標(biāo)的同時(shí)從目標(biāo)網(wǎng)絡(luò)中檢索出有利用價(jià)值的信息。

Naid團(tuán)隊(duì)負(fù)責(zé)散發(fā)Troin.Naid木馬程序，在Bit9公司被入侵的記錄中發(fā)現(xiàn)了該木馬程序的代碼，Naid木馬似乎只在針對(duì)攻擊某些高價(jià)值的目標(biāo)時(shí)使用。在VOHO運(yùn)動(dòng)中這個(gè)木馬被用來(lái)執(zhí)行過(guò)一個(gè)特殊的操作并且是由神秘山貓組織里面的一個(gè)技術(shù)高超的攻擊者所為。另外，在2009年的“極光行動(dòng)”中也被發(fā)現(xiàn)過(guò)Naid木馬程序的代碼。

在這些攻擊活動(dòng)中，大部分的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和工具被定位來(lái)源于中國(guó)。隱秘山貓組織經(jīng)常使用0day漏洞，反復(fù)滲透、巧妙植入、長(zhǎng)期潛伏、精確打擊，是隱秘山貓組織的特點(diǎn)。他們的工作有條不紊，技能也遠(yuǎn)遠(yuǎn)的超前與其它一些攻擊群體，如APT1。隱秘山貓?jiān)谶^(guò)去的四年里一直在運(yùn)作著APT攻擊。在2013年他們已經(jīng)發(fā)起多次0day攻擊，他們也將繼續(xù)保持他們的領(lǐng)先優(yōu)勢(shì)，進(jìn)行有針對(duì)性的網(wǎng)絡(luò)攻擊。#p#

四、他們的目標(biāo)是誰(shuí)？

自2011年11月以來(lái)，隱秘山貓已經(jīng)成功入侵過(guò)數(shù)百家企業(yè)或組織。在此期間，這些組織一直在被持續(xù)控制之中。商業(yè)組織和各級(jí)政府部門(mén)是隱秘山貓的主要攻擊對(duì)象，從各種行業(yè)的不同攻擊目標(biāo)來(lái)看，他們的攻擊對(duì)象并不固定。隱秘山貓可以在全球范圍內(nèi)同一時(shí)間發(fā)起多次針對(duì)不同目標(biāo)的攻擊。

隱秘山貓最近對(duì)韓國(guó)的一些特殊組織進(jìn)行了攻擊并且西方國(guó)家的國(guó)防工業(yè)部門(mén)長(zhǎng)期以來(lái)一直是他們的攻擊對(duì)象。

自2011年以來(lái)隱秘山貓攻擊目標(biāo)和攻擊范圍所涵蓋的行業(yè)及國(guó)家/地區(qū)統(tǒng)計(jì)

五、他們的動(dòng)機(jī)是什么？

一系列的有針對(duì)性的信息表明，隱秘山貓是一個(gè)專(zhuān)業(yè)性的黑客組織。他們的任務(wù)是獲取目標(biāo)的具體信息，從而在同行之間保持領(lǐng)先水平。他們不會(huì)參與到經(jīng)濟(jì)利益的直接獲取中。這樣的運(yùn)作模式表明他們是一個(gè)提供“黑客雇傭”的私人組織，他們技術(shù)高超，有經(jīng)驗(yàn)豐富的專(zhuān)業(yè)人士，他們通過(guò)提供黑客技術(shù)來(lái)取得收入。

商業(yè)間諜

在上圖顯示中，金融服務(wù)業(yè)被認(rèn)為是最具有針對(duì)性的行業(yè)。有一種傾向是攻擊目標(biāo)專(zhuān)門(mén)針對(duì)此行業(yè)內(nèi)特定的企業(yè)。投資銀行和資產(chǎn)管理機(jī)構(gòu)的賬戶(hù)是他們的主要目標(biāo)。某些類(lèi)型的金融機(jī)構(gòu)，例如商業(yè)銀行的經(jīng)營(yíng)者，明確的表明了他們的攻擊是針對(duì)這些目標(biāo)的。

隱秘山貓利用他們的專(zhuān)業(yè)技能參與到大型企業(yè)的交易中，例如在即將到來(lái)的企業(yè)兼并和收購(gòu)中，利用他們可以獲得競(jìng)爭(zhēng)對(duì)手的一些保密信息，從而獲得競(jìng)爭(zhēng)優(yōu)勢(shì)。通過(guò)集中瞄準(zhǔn)這一領(lǐng)域，在談判大型企業(yè)的并購(gòu)或在證券交易所進(jìn)行股票交易時(shí)，將會(huì)提供寶貴的信息。

對(duì)金融行業(yè)的攻擊并不僅限于投資銀行，還有證券交易公司，包括世界上最大的一個(gè)證券交易所都受到了他們的攻擊。隱秘山貓還通過(guò)供應(yīng)鏈提供間接攻擊，他們提供硬件基礎(chǔ)設(shè)施、安全網(wǎng)絡(luò)通信和服務(wù)，特殊的金融部門(mén)也受到過(guò)他們的攻擊?？梢钥隙ㄋ麄冞M(jìn)行攻擊活動(dòng)的動(dòng)機(jī)就是這些金融行業(yè)。

攻擊政府承包商

隱秘山貓有針對(duì)性的攻擊目標(biāo)，從地方政府到國(guó)家政府，并且多次反復(fù)嘗試滲透進(jìn)入這些政府的內(nèi)部網(wǎng)絡(luò)。他們攻擊政府承包商，有資料證實(shí)隱秘山貓攻擊的目的是為了獲取這些政府部門(mén)的機(jī)密信息，也有資料顯示他們是在為某些國(guó)家政府工作。

通過(guò)攻擊有先進(jìn)技術(shù)的特殊領(lǐng)域，比如航空航天領(lǐng)域，可以獲得對(duì)他們國(guó)家有利的技術(shù)資料，或者彌補(bǔ)技術(shù)差距。通過(guò)攻擊互聯(lián)網(wǎng)服務(wù)提供商，可以獲得很多有價(jià)值的信息。隱秘山貓實(shí)施的“極光運(yùn)動(dòng)”，這個(gè)運(yùn)動(dòng)中有針對(duì)性的攻擊了很多組織，包括軟件服務(wù)制造商和安全服務(wù)提供商。最近，微軟聲稱(chēng)隱秘山貓通過(guò)標(biāo)記電子郵件進(jìn)行法院命令竊聽(tīng)。他們相信這些攻擊都是反情報(bào)行為，這些行動(dòng)的背后可能是有國(guó)家政府在支持。#p#

六、他們都做了些什么？

隱秘山貓的入侵工具、戰(zhàn)術(shù)和自動(dòng)化程序都是處于頂尖的水平。他們針對(duì)不同的目標(biāo)采用量身定制的攻擊工具和技術(shù)，以便最大程度的實(shí)現(xiàn)成功入侵。他們攻擊公共網(wǎng)絡(luò)設(shè)施并且為了秘密行動(dòng)而采用自己設(shè)計(jì)的木馬程序。他們實(shí)施過(guò)最成功的水坑式攻擊。為了成功散發(fā)木馬程序他們還進(jìn)行了釣魚(yú)式攻擊和提供黑客技術(shù)產(chǎn)業(yè)鏈。這是一個(gè)有多年經(jīng)驗(yàn)的團(tuán)隊(duì)，并且他們有足夠的網(wǎng)絡(luò)資源和高技術(shù)人才。

在以下三個(gè)主要事件中可以清晰的證明隱秘山貓組織的超強(qiáng)攻擊能力：在VOHO運(yùn)動(dòng)中，他們成功入侵了提供數(shù)字簽名服務(wù)的Bit9公司。在FINSHO運(yùn)動(dòng)中，他們使用了先進(jìn)的0day漏洞攻擊。在SCADEF行動(dòng)中，他們通過(guò)操縱供應(yīng)鏈攻擊成功入侵了目標(biāo)。

繞過(guò)堅(jiān)固可信的防護(hù)系統(tǒng)

隱秘山貓面對(duì)困難可以迅速的改變應(yīng)對(duì)策略。在Bit9事件中，他們就通過(guò)繞過(guò)Bit9公司堅(jiān)固的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，成功的使他們的木馬程序獲得合法簽名。然而，入侵Bit9只是VOHO大型水坑攻擊的一小部分，通過(guò)這一事件證明了他們?cè)诿鎸?duì)新的困難和阻礙時(shí)可以迅速的適應(yīng)變化并采取新的策略和應(yīng)急政策。

Bit9事件

Bit9是一家提供網(wǎng)絡(luò)安全服務(wù)的公司，總部位于馬薩諸塞州的沃爾瑟姆。Bit9替代了傳統(tǒng)的基于簽名的防病毒解決方案，他提供了一個(gè)基于云端信譽(yù)服務(wù)的可信安全平臺(tái)并結(jié)合控制應(yīng)用程序的策略和白名單保護(hù)來(lái)防止網(wǎng)絡(luò)威脅。其結(jié)果是，由于Bit9平臺(tái)的安全防護(hù)，第三方惡意木馬程序很難在網(wǎng)絡(luò)上進(jìn)行傳播，比如遠(yuǎn)程控制木馬“Gh0stRAT”。但是隱秘山貓對(duì)此毫無(wú)畏懼，他們的精英小組接受了挑戰(zhàn)。

在2013年2月8日，在Bit9公司的發(fā)表文件中有細(xì)節(jié)透漏：有一個(gè)第三方的惡意程序已經(jīng)入侵了他們的數(shù)字代碼簽名證書(shū)系統(tǒng)。在此次事件中，有很多木馬程序和惡意腳本程序被賦予合法簽名。在2月25日，更多的攻擊細(xì)節(jié)被透漏出來(lái)：在6個(gè)月前的2012年7月，有一個(gè)后門(mén)程序通過(guò)SQL注入攻擊進(jìn)入Bit9網(wǎng)絡(luò)內(nèi)部。起因是源于一次運(yùn)營(yíng)監(jiān)管，有一臺(tái)面向公眾的服務(wù)器脫離了Bit9安全平臺(tái)的防護(hù)，使得攻擊者趁機(jī)攻陷了這臺(tái)服務(wù)器。

然后攻擊者安裝了后門(mén)程序Hikit，這個(gè)后門(mén)木馬程序提供了極其隱秘的遠(yuǎn)程控制通道。隨后同一區(qū)域內(nèi)的另外一臺(tái)虛擬機(jī)的登陸口令被攻擊者獲取。這臺(tái)虛擬機(jī)是Bit9公司的數(shù)字代碼簽名證書(shū)服務(wù)器。攻擊者利用這臺(tái)服務(wù)器簽署了32個(gè)木馬程序。賽門(mén)鐵克的遙測(cè)系統(tǒng)顯示簽署的程序中有一部分已經(jīng)存在于美國(guó)國(guó)防工業(yè)部的網(wǎng)絡(luò)中。

一旦這些木馬程序被賦予合法簽名，它們將會(huì)繞過(guò)Bit9公司的安全防護(hù)平臺(tái)。被賦予合法簽名的木馬程序中包括后門(mén)程序Hikit的變種，以及另外一個(gè)木馬程序Naid。還有一些惡意腳本程序也被賦予合法簽名，每一個(gè)惡意程序都有其特殊的目的。比如：Hikit后門(mén)程序用于隱藏在提供對(duì)外服務(wù)的服務(wù)器中，而Naid木馬程序用于水坑式攻擊中針對(duì)性的攻擊某些高價(jià)值的目標(biāo)。

Torjan.Naid木馬程序的數(shù)字簽名證書(shū)

Hikit后門(mén)程序控制了Bit9的數(shù)字代碼簽名證書(shū)服務(wù)器，并賦予Naid合法簽名

Bit9公司在2013年1月份注意到事件的危害后立即采取了遏制措施，比如撤銷(xiāo)了簽名證書(shū)并通告給了整個(gè)行業(yè)。從Bit9公司入侵事件來(lái)看，隱秘山貓攻擊的動(dòng)機(jī)并不是直接的經(jīng)濟(jì)利益，而是試圖獲取更多的資料信息。Bit9公司承認(rèn)，他們的3個(gè)客戶(hù)也受到了此次事件的影響。

在對(duì)Bit9進(jìn)行攻擊的同時(shí)，另外一個(gè)更著名的運(yùn)動(dòng)也已經(jīng)順利進(jìn)行。他們剛剛結(jié)束了VOHO運(yùn)動(dòng)，一個(gè)針對(duì)美國(guó)馬薩諸塞州波士頓地區(qū)的水坑式攻擊的運(yùn)動(dòng)。

VOHO運(yùn)動(dòng)

VOHO運(yùn)動(dòng)最先是有RSA公司公布出來(lái)的，VOHO運(yùn)動(dòng)是最大也是實(shí)施最成功的一次水坑式攻擊。這次運(yùn)動(dòng)結(jié)合了區(qū)域性攻擊和特定行業(yè)間的攻擊，主要針對(duì)目標(biāo)是美國(guó)的企業(yè)和組織。這次攻擊開(kāi)始于6月25日，結(jié)束與7月18日，期間有接近4000臺(tái)機(jī)器被下載了惡意程序的攻擊載荷（攻擊載荷是目標(biāo)系統(tǒng)被滲透攻擊之后所執(zhí)行的代碼）。這些攻擊載荷通過(guò)合法網(wǎng)站傳播給了不知情的受害者。

隱秘山貓實(shí)施水坑式攻擊的做法頗有創(chuàng)意。在水坑式攻擊中，攻擊者設(shè)法攻陷一個(gè)合法網(wǎng)站，當(dāng)目標(biāo)訪(fǎng)問(wèn)合法網(wǎng)站時(shí)就會(huì)受到感染，從而實(shí)施對(duì)目標(biāo)的攻擊。從受害者規(guī)模和針對(duì)的目標(biāo)性質(zhì)可以看出水坑式攻擊和以往的攻擊行為有很大不同。在2011年12月隱秘山貓首次使用這項(xiàng)技術(shù)時(shí)，利用了OracleJavaSERhino的腳本引擎遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2011-3544），從而成功了執(zhí)行了他們的攻擊載荷。由于隱秘山貓的此次事件的成功，許多其它攻擊行為都模仿此戰(zhàn)略，比如2013年初期，針對(duì)IOS開(kāi)發(fā)者的攻擊事件，使得蘋(píng)果、Facebook和Twitter的許多員工受到影響。

在VOHO運(yùn)動(dòng)中，有10家合法網(wǎng)站受到影響。隱秘山貓的攻擊者精心挑選了目標(biāo)對(duì)象可能要訪(fǎng)問(wèn)的網(wǎng)站，從而使得他們的攻擊載荷可以實(shí)施精確打擊。

在VOHO運(yùn)動(dòng)中受到影響的網(wǎng)站所屬的地區(qū)和相關(guān)的部門(mén)

VOHO運(yùn)動(dòng)時(shí)間表，包含了兩個(gè)階段中所利用的0day漏洞和后門(mén)程序

#p#

活動(dòng)時(shí)間表

隱秘山貓的水坑式攻擊分兩個(gè)階段進(jìn)行。在攻擊的第一階段，他們利用了IE的0day漏洞：微軟XML核心服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2012-1889)。在2012年的7月10日，微軟推出了此漏洞的更新補(bǔ)丁，隱秘山貓因而也停止了繼續(xù)利用這一漏洞。這是一個(gè)非常明智的行為，因?yàn)槿绻麄兝^續(xù)利用此漏洞來(lái)冒險(xiǎn)掃描網(wǎng)絡(luò)，就很有可能會(huì)被發(fā)現(xiàn)，從而影響到攻擊的第二階段。

在接下來(lái)的6天內(nèi)，他們實(shí)施了第二階段的攻擊，這一次他們利用的漏洞是OracleJavaSE遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2012-1723）。這個(gè)Java漏洞的補(bǔ)丁在后期也被及時(shí)修復(fù)。在此次入侵中，隱秘山貓連續(xù)使用了兩個(gè)0day漏洞，可見(jiàn)，他們不是一般的黑客組織。

接下來(lái)我們看看隱秘山貓所使用的木馬程序。

在實(shí)施攻擊的過(guò)程中，兩個(gè)木馬程序在不同的時(shí)間被使用。定制版本的“Gh0stRAT”是后門(mén)程序Moudoor，相對(duì)比木馬程序Naid來(lái)說(shuō)分布的規(guī)模更大，可以看出隱秘山貓?jiān)诠舻倪^(guò)程中是有選擇性的使用這些程序的。

在實(shí)施第二階段攻擊之前，木馬程序Naid已經(jīng)被Bit9公司的合法證書(shū)所簽名。Moudoor程序從來(lái)沒(méi)有在Bit9事件中出現(xiàn)，可以確定這是由隱秘山貓的兩個(gè)團(tuán)隊(duì)分開(kāi)獨(dú)立工作的，從而他們可以獨(dú)立性的選擇目標(biāo)進(jìn)行攻擊。從Naid木馬程序控制的服務(wù)器來(lái)看，它與Moodoor有很大的不同，因?yàn)榇笠?guī)模的控制這些目標(biāo)服務(wù)器會(huì)不可避免的在目標(biāo)網(wǎng)絡(luò)上留下更多的痕跡。

Moudoor和Naid木馬程序的使用情況

Naid木馬團(tuán)隊(duì)的角色

在這次攻擊運(yùn)動(dòng)中，Naid團(tuán)隊(duì)有一個(gè)特殊的目標(biāo)：從國(guó)防工業(yè)部獲取信息資料。在VOHO攻擊運(yùn)動(dòng)的第一階段，有一個(gè)未簽名版本的Naid木馬程序潛入了國(guó)防工業(yè)部，一直潛伏到7月10日微軟推出了CVE-2012-1889的補(bǔ)丁程序?？赡苁请[秘山貓?jiān)谠噲D進(jìn)入國(guó)防工業(yè)部的內(nèi)部網(wǎng)絡(luò)時(shí)發(fā)現(xiàn)，目標(biāo)的網(wǎng)絡(luò)被Bit9公司的防護(hù)體系所保護(hù)，所以試圖攻擊Bit9以獲取他們的數(shù)字證書(shū)簽名。

在7月13日，就是他們對(duì)Bit9發(fā)起攻擊的幾天后，隱秘山貓組織就獲取到了Naid木馬程序的合法簽名。在接下來(lái)的一天里，他們又挖掘出了一個(gè)Java的可利用漏洞程序來(lái)傳播Naid木馬程序?，F(xiàn)在即有了合法證書(shū)簽名，又有了可利用的漏洞負(fù)責(zé)承載傳播，從7月16號(hào)開(kāi)始，在接下來(lái)的三天內(nèi)，隱秘山貓大肆恢復(fù)進(jìn)行了他們的惡意活動(dòng)。就是在這段時(shí)期內(nèi)，在Bit9安全保護(hù)體系下的多家網(wǎng)絡(luò)平臺(tái)被攻陷。

在VOHO運(yùn)動(dòng)中，Naid是用來(lái)專(zhuān)門(mén)保留給特殊活動(dòng)中的，用來(lái)入侵高價(jià)值目標(biāo)。Naid團(tuán)隊(duì)的攻擊目標(biāo)范圍很小，但是很專(zhuān)注，因?yàn)樗麄円畲笙薅鹊慕档蚇aid木馬程序的曝光度。負(fù)責(zé)整體性攻擊的復(fù)雜程度要求一個(gè)攻擊者要站在一個(gè)對(duì)系統(tǒng)安全架構(gòu)高度熟悉的水平上。

很顯然，隱秘山貓的組織成員是訓(xùn)練有素、技能高超的，他們行動(dòng)敏捷，工作有條不紊，可以根據(jù)變化隨時(shí)調(diào)整自己的作戰(zhàn)策略。比如，為了實(shí)現(xiàn)他們?nèi)肭謬?guó)防工業(yè)部的最終目標(biāo)，他們迅速的適應(yīng)情況變化，改變作戰(zhàn)策略，從而一舉攻破了安全體系做的最好的Bit9公司的防護(hù)系統(tǒng)，進(jìn)而實(shí)現(xiàn)了最終目的。

Moudoor后門(mén)團(tuán)隊(duì)的角色

在VOHO運(yùn)動(dòng)中，Moudoor后門(mén)程序都傳播范圍非常大。包括金融行業(yè)，地方政府和聯(lián)邦政府，醫(yī)療行業(yè)，教育業(yè)，和法律行業(yè)都受到影響。對(duì)于企業(yè)間諜來(lái)說(shuō)，這些行業(yè)的敏感信息都是巨大的財(cái)富。

在此次運(yùn)動(dòng)中受影響的組織機(jī)構(gòu)

在這次攻擊運(yùn)動(dòng)中，傳播如此大規(guī)模的范圍需要一個(gè)有規(guī)模的團(tuán)隊(duì)來(lái)操作，并且維持訪(fǎng)問(wèn)這些已經(jīng)被控制的電腦。只需要一個(gè)小團(tuán)隊(duì)就可以輕易的實(shí)現(xiàn)系統(tǒng)入侵，但是要持續(xù)的控制所入侵的系統(tǒng)并在這些系統(tǒng)中檢索出有價(jià)值的信息就需要一個(gè)大的團(tuán)隊(duì)來(lái)操作。為了實(shí)現(xiàn)同時(shí)攻擊這些組織及機(jī)構(gòu)，就同樣需要有大量的人員來(lái)操作。這些木馬程序的傳播都需要手工進(jìn)行操作，所以，如果沒(méi)有數(shù)百名人員來(lái)維護(hù)這個(gè)工作，那將是難以想象的。

在過(guò)去的四年里，VOHO攻擊運(yùn)動(dòng)只是隱秘山貓組織所進(jìn)行的眾多運(yùn)動(dòng)之一。這顯示出了隱秘山貓為了成功獲取目標(biāo)系統(tǒng)的可以迅速改變作戰(zhàn)策略。事實(shí)上，Bit9公司的數(shù)字代碼簽名證書(shū)被攻破只是這次運(yùn)動(dòng)中的一小部分，但這也顯示出了隱秘山貓組織的超強(qiáng)適應(yīng)能力和不達(dá)目的絕不罷休的信心。

高級(jí)0day漏洞攻擊

隱秘山貓組織可以獲取高級(jí)0day漏洞。在今年的2月份，在FINSHO運(yùn)動(dòng)中，他們利用OracleJavaSE的遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2013-1493）攻擊了日本的目標(biāo)組織。

FINSHO運(yùn)動(dòng)

在2月25日，Bit9發(fā)表博客聲明的兩天時(shí)間內(nèi)，隱秘山貓組織的成員在一次攻擊運(yùn)動(dòng)中利用CVE-2013-1493漏洞傳播了Moudoor后門(mén)程序和Naid木馬程序。有趣的是，有一臺(tái)C&C服務(wù)器（110.173.55.187）的Naid木馬程序的配置和Bit9事件中發(fā)現(xiàn)的樣本配置相類(lèi)似。雖然入侵Bit9事件中使用的程序版本在其它事件中沒(méi)有被發(fā)現(xiàn)，但是隱秘山貓這種系統(tǒng)化有條不紊的做法表明他們可能已經(jīng)利用Naid木馬程序進(jìn)行了其它類(lèi)似的攻擊活動(dòng)。

在FINSHO運(yùn)動(dòng)中Moodoor和Naid木馬程序利用CVE-2013-1493漏洞的傳播情況以及漏洞的開(kāi)發(fā)以及傳播時(shí)間表

根據(jù)Oracle公司發(fā)表的博客，CVE-2013-1493漏洞是在2月1日被報(bào)告給他們的，在同一天，已經(jīng)有利用該程序的代碼滲透進(jìn)入了該程序，如圖10。在過(guò)去隱秘山貓利用的java攻擊載荷都是已經(jīng)對(duì)外公開(kāi)了的。在這次事件中，他們得到漏洞的時(shí)間是與Oracle在同一天，很快就開(kāi)發(fā)出了漏洞利用的攻擊載荷。Oracle發(fā)布CVE-2013-1493漏洞修復(fù)補(bǔ)丁的時(shí)間是在3月4日。

MightDev.jar文件曾被用來(lái)傳播Naid和Moudoor木馬。

通過(guò)共享的C&C服務(wù)器中Naid配置，顯示出了FINSHO運(yùn)動(dòng)和Bit9事件中的關(guān)系

供應(yīng)鏈攻擊

隱秘山貓?jiān)赩OHO運(yùn)動(dòng)后繼續(xù)攻擊國(guó)防工業(yè)部。在另外一個(gè)叫做SCADEF的攻擊運(yùn)動(dòng)中，軍用級(jí)的計(jì)算機(jī)制造商和供應(yīng)商中的設(shè)備中發(fā)現(xiàn)了有木馬程序被嵌入到英特爾的芯片驅(qū)動(dòng)中。

SCADEF

攻擊者利用變種的后門(mén)程序Moudoor捆綁了英特爾驅(qū)動(dòng)程序，使用的捆綁工具是在中國(guó)非常流行的壓縮軟件Haozip。攻擊者使受害者以合法途徑下載此驅(qū)動(dòng)程序，但是在本次調(diào)查中并沒(méi)有發(fā)現(xiàn)這個(gè)驅(qū)動(dòng)程序的真正來(lái)源。

該技術(shù)是進(jìn)入安全防護(hù)很好的網(wǎng)絡(luò)的另外一種途徑。隱秘山貓不僅攻擊硬件供應(yīng)商，政府承包商也是他們的攻擊目標(biāo)。隱秘山貓小組成員旨在找出鏈中最薄弱的環(huán)節(jié)，然后等待目標(biāo)上線(xiàn)。在這次的特定攻擊中，他們只是等待受害計(jì)算機(jī)被安裝使用在目標(biāo)網(wǎng)絡(luò)上。

在供應(yīng)鏈攻擊中檢測(cè)出的受害計(jì)算機(jī)數(shù)量

VOHO運(yùn)動(dòng)，F(xiàn)INSHO運(yùn)動(dòng)和SCADEF運(yùn)動(dòng)都表明了隱秘山貓?jiān)诠裟繕?biāo)時(shí)，是如何的高效和快速適應(yīng)變化。他們具有高超的攻擊技術(shù)和先進(jìn)的攻擊方法，可以快速的適應(yīng)變化以實(shí)現(xiàn)每一個(gè)目的。這三大運(yùn)動(dòng)是隱秘山貓?jiān)谶^(guò)去的時(shí)間里的一部分活動(dòng)，他們的這些行動(dòng)對(duì)一些行業(yè)構(gòu)成了很大的威脅。#p#

總結(jié)

網(wǎng)絡(luò)間諜活動(dòng)正在變得越來(lái)越普遍，有數(shù)不清的黑客組織或威脅人員試圖攻擊一些安全防護(hù)措施做得好的組織以獲得立足之地。這些攻擊也變得越來(lái)越復(fù)雜。這些威脅人員的機(jī)動(dòng)能力和戰(zhàn)術(shù)也有很大的不同。隱秘山貓組織有能力對(duì)目標(biāo)進(jìn)行重點(diǎn)攻擊，可以進(jìn)行大型攻擊活動(dòng)，可以在全球范圍內(nèi)同時(shí)發(fā)起針對(duì)多個(gè)組織的攻擊活動(dòng)。我們已經(jīng)看到了他們的行動(dòng)，自2009年以來(lái)，他們?cè)诙啻芜\(yùn)動(dòng)中利用尖端的技術(shù)反復(fù)滲透、攻擊目標(biāo)網(wǎng)絡(luò)。他們可以迅速的適應(yīng)安全應(yīng)對(duì)措施，并且行動(dòng)活躍占據(jù)主動(dòng)。在有針對(duì)性的威脅中，隱秘山貓是最具有豐富資源和能力的攻擊組織之一。

根據(jù)以上證據(jù)可以看出，隱秘山貓顯然是一個(gè)專(zhuān)業(yè)的組織。他們使用最新的技術(shù)，可以利用多組不同的漏洞，使用專(zhuān)業(yè)定制的工具來(lái)攻擊目標(biāo)網(wǎng)絡(luò)。他們的攻擊可以維持很長(zhǎng)一段時(shí)間，并且具有豐富的設(shè)備資源和龐大的組織。他們團(tuán)隊(duì)的成員技能嫻熟，可以快速適應(yīng)不斷變化的情況。他們的團(tuán)隊(duì)大概有50-100人，這些人員的工作是制造木馬程序，維持訪(fǎng)問(wèn)被攻陷的電腦及服務(wù)器資源以及在眾多資源中檢索出有利用價(jià)值的信息。

具有針對(duì)性的網(wǎng)絡(luò)攻擊正在不斷變化，并且日趨成熟，同時(shí)企業(yè)組織實(shí)施安全應(yīng)對(duì)措施，供攻擊者也正以極快的速度適應(yīng)這種變化。隨著越來(lái)越多的威脅人員參與其中，企業(yè)組織必須明白，老練的攻擊者正在試圖努力繞過(guò)每一層的安全防護(hù)。保護(hù)公司資產(chǎn)安全的任何解決方案都將不安全。因此，各項(xiàng)解決方案需要相互結(jié)合，做到更好的了解攻擊者，以充分保護(hù)攻擊者最感興趣的敏感信息。

隱秘山貓的使命很大，從他們的攻擊頻率和多樣性可以看出，他們的目的是從企業(yè)組織中獲取有利用價(jià)值的信息。他們的攻擊范圍在全球各地，攻擊目標(biāo)通常是一些經(jīng)濟(jì)發(fā)達(dá)、技術(shù)先進(jìn)的國(guó)家。他們一般不會(huì)利用這些信息直接獲取經(jīng)濟(jì)利益，他們可以利用的信息量巨大，而且具有多樣性，他們一般會(huì)將這些信息簽約給他們的多個(gè)客戶(hù)。這樣就使我們相信，這個(gè)一個(gè)專(zhuān)業(yè)的黑客組織，并且提供“黑客雇傭”服務(wù)。

最讓我們擔(dān)憂(yōu)的是隱秘山貓所帶來(lái)的連鎖效應(yīng)，因?yàn)槠渌囊恍┕粽呖赡軙?huì)模仿隱秘山貓的攻擊行為，并學(xué)習(xí)、采用他們的攻擊技術(shù)。隱秘山貓也沒(méi)有沉迷于他們過(guò)去的輝煌之中，而是在繼續(xù)改進(jìn)并精簡(jiǎn)其業(yè)務(wù)，繼續(xù)保持在這一領(lǐng)域的領(lǐng)先地位。我們預(yù)計(jì)，在未來(lái)的幾年內(nèi)，會(huì)有更多的威脅人員參與到更多的攻擊活動(dòng)中。像隱秘山貓類(lèi)似的團(tuán)體組織肯定會(huì)贏(yíng)得一些戰(zhàn)斗，但是企業(yè)組織如果更好的了解了這些黑客組織是如何運(yùn)作的，可以幫助我們采取相應(yīng)的對(duì)策并防止企業(yè)機(jī)密信息落入攻擊者手中。