戴爾公司的研究人員在Black Hat上披露，一個名為“熊貓使者”的黑客小組僅用六個小時完成入侵。

這個團隊的代號為TG-3390，主要攻擊國防和航天項目。他們技術(shù)高超，能夠在六個小時內(nèi)入侵多層系統(tǒng)，獲取域名憑據(jù)和訪問環(huán)境的權(quán)限。這個小組的攻擊手段中包括水坑攻擊，它經(jīng)常入侵那些目標公司員工會訪問的網(wǎng)站，以獲得踏入目標網(wǎng)絡(luò)的跳板。

[[144558]]

目前，熊貓使者已經(jīng)入侵了大約100家網(wǎng)站。每個水坑中都被注入了一個白名單，以保證只有來自目標組織的員工才會受到攻擊，這有助于保證攻擊處于低姿態(tài)。

戴爾的反威脅部門表示，熊貓使者會使用小規(guī)模數(shù)據(jù)泄露和Microsoft Exchange后門，值得關(guān)注。

團隊廣泛、長期地使用水坑攻擊，并依賴白名單來保證攻擊的定向性。初步入侵后，TG-3390會向受害者注入HttpBrowser后門，然后快速入侵Microsoft Exchange服務(wù)器，并獲得目標環(huán)境的完全控制權(quán)。

“這些黑客善于識別關(guān)鍵的數(shù)據(jù)存儲設(shè)備，并有選擇性地竊取與其目標相關(guān)的高價值信息。”

六個小時完成入侵

研究人員表示，目標組織失竊的信息與國防項目直接相關(guān)。這個小組沒有展開大規(guī)模攻擊，這引起了關(guān)于其動機的爭論。

“CTU研究人員發(fā)現(xiàn)，失竊信息主要來自于特定的美國國防項目。其入侵動機可能是竊取軍事生產(chǎn)機密，或者竊取美國軍隊規(guī)模數(shù)據(jù)，或者兩方面都有。”

戴爾并沒有表示這是一個雇傭兵式的黑客團隊。

戴爾還表示，其它受害還組織包括中東、歐洲、亞洲國家設(shè)立在華盛頓的大使館，以及其它政府/非政府機構(gòu)。這個團隊會利用未打補丁的漏洞，其中最常用的是Java漏洞(CVE-2011-3544, CVE-2010-0738)。他們也會使用DLL Side Loading技術(shù)。

熊貓使者和專門制造黑客工具的組織存在緊密聯(lián)系，精通于隱藏惡意軟件、進行靜默偵查。他們并不熱衷于在目標組織中建立一個長期的觀察點。

“他們的最終目的是竊取數(shù)據(jù)，而不是潛入滲透。在CTU研究者們得到的一個案例中，TG-3390的黑客們在得到目標網(wǎng)絡(luò)的訪問權(quán)限后，會識別并且竊取目標組織中特定項目的信息。”

5個小時訪問

基于以下原因，戴爾懷疑該小組起源于中國：

當(dāng)?shù)毓ぷ鲿r間、使用帶有漢語的工具。但這可能是攻擊者精心設(shè)置的誤導(dǎo)。

黑客們使用的工具包括自定義的工具OwaAuth Web Shell和ASPXTool，以及流行的犯罪黑客工具PlugX、HttpBrowser、ChinaChopper。