0x00 背景

Hacking Team是一家在意大利米蘭注冊的軟件公司，主要向各國政府及法律機(jī)構(gòu)銷售入侵及監(jiān)視功能的軟件。其遠(yuǎn)程控制系統(tǒng)可以監(jiān)測互聯(lián)網(wǎng)用戶的通訊、解密用戶的加密文件及電子郵件，記錄Skype及其它VoIP通信，也可以遠(yuǎn)程激活用戶的麥克風(fēng)及攝像頭。其總部在意大利，雇員40多人，并在安納波利斯和新加坡?lián)碛蟹种C(jī)構(gòu)，其產(chǎn)品在幾十個國家使用。

7月5日晚，Hacking Team服務(wù)器被攻擊，其掌握的400GB數(shù)據(jù)泄露出來，由此引發(fā)的動蕩，引起了業(yè)界一片嘩然，里面有Flash 0day, Windows字體0day, iOS enterprise backdoor app, Android selinux exploit, WP8 trojan等等核武級的漏洞和工具，其遠(yuǎn)程控制系統(tǒng)可以突破系統(tǒng)默認(rèn)以及殺毒軟件的安全防護(hù)，后臺監(jiān)控用戶的網(wǎng)絡(luò)通訊、解密用戶的加密文件及電子郵件，記錄Skype和其它VoIP工具的聊天內(nèi)容，以及遠(yuǎn)程激活用戶的麥克風(fēng)及攝像頭。

本文為Hacking Team泄露的400GB數(shù)據(jù)當(dāng)中，查到韓國和哈薩克斯坦曾跟Hacking Team合作利用其開發(fā)漏洞利用工具發(fā)起針對中國攻擊的證據(jù)。

0x01 韓國方面證據(jù)

通過曝光的Hacking Team客戶列表文件Clinet Overview_list_20150603.xlsx

可以看到韓國的5163部隊是其中一個客戶。 

維基解密網(wǎng)站將曝光的Hacking Team郵件數(shù)據(jù)制作成數(shù)據(jù)庫，可以通過關(guān)鍵詞、郵件收發(fā)者、附件名等方式進(jìn)行檢索，網(wǎng)站地址：

http://wikileaks.org/hackingteam/emails

而在韓國是沒有 5163 army 這個部隊的。

搜索了一下郵件里5163 army的地址，正是韓國國情院(NIS)，韓國的聯(lián)系人為nanatechco@paran.com。 

根據(jù)客戶列表中的CODE可以查到韓國使用RCS系統(tǒng)所對應(yīng)的聯(lián)系人為devilangel1004@gmail.com

https://wikileaks.org/hackingteam/emails/emailid/808281 

而devilangel1004@gmail.com此郵箱與Hacking Team的多封郵件交流中談到針對中國攻擊的郵件。

https://wikileaks.org/hackingteam/emails/emailid/73106

該郵件明確表示，有一些目標(biāo)在中國，希望找到繞過國內(nèi)殺毒軟件的方法。 

https://wikileaks.org/hackingteam/emails/emailid/44544

這是在中國的一些目標(biāo)，無法通過GSM回傳數(shù)據(jù)，猜測中國ISP服務(wù)商屏蔽了一些IP段。 

受控中文系統(tǒng)上的軟件

https://wikileaks.org/hackingteam/emails/emailid/578986

Application List (x86):
115瀏覽器 1.0 (1.0)
360殺毒 (4.2.0.4055)
360壓縮 (3.0.0.2011)
360安全衛(wèi)士 (9.1.0.2001)
360手機(jī)助手 (1.7.0.1715)
Adobe Flash Player 11 ActiveX (11.7.700.224)
Adobe Flash Player 10 Plugin (10.0.45.2)
交通銀行網(wǎng)銀安全控件 V1.0.0.5 (0.10.11.3)
東亞中國網(wǎng)上銀行安全Key軟件 (?)
中國農(nóng)業(yè)銀行證書安全控件卸載
中國農(nóng)業(yè)銀行網(wǎng)上銀行證書工具軟件 飛天誠信 Extend KEY 卸載 (20120612)
LinkSkype_Setup (1.0)
Microsoft .NET Framework 2.0
MSNLite (3.1)
QvodPlayer(快播) v3.5 (3.5)
搜狗拼音輸入法 6.5正式版 (6.5.0.9181)
搜狗壁紙 1.5版 (1.5.0.0922)
千千靜聽 5.9.6 (5.9.6)
Windows Live 軟件包 (14.0.8117.0416)
WinRAR 壓縮文件管理器
人人桌面
騰訊QQ2012 (1.87.4930.0)
Free Launch Bar (1.0)
Windows Live 上載工具 (14.0.8014.1029)
中國農(nóng)業(yè)銀行網(wǎng)上銀行安全控件 v2.3.6.0
中國農(nóng)業(yè)銀行網(wǎng)上銀行證書工具軟件（旋極信息）
Microsoft Office Professional Edition 2003 (11.0.8173.0)
Compatibility Pack for the 2007 Office system (12.0.6514.5001)
迅雷5 (5.9.25.1528)
Windows Live 登錄助手 (5.000.818.5)
REALTEK GbE & FE Ethernet PCI-E NIC Driver (1.35.0000)
Skype(TM) 5.9 (5.9.14)
Intel(R) Graphics Media Accelerator Driver (6.14.10.5402)
Realtek High Definition Audio Driver
中國銀行網(wǎng)上銀行安全控件 2.1
暴風(fēng)影音 V3.10.07.30

泄露的400G文件中，Exopoit_Delivery_Netwokr_Windows.Tar為Hacking Team針對電腦系統(tǒng)的遠(yuǎn)程漏洞攻擊服務(wù)器數(shù)據(jù)， Exopoit_Delivery_Netwokr_Andorid.Tar為Hacking Team針對安卓系統(tǒng)的遠(yuǎn)程漏洞攻擊服務(wù)器數(shù)據(jù)。

http://ht.transparencytoolkit.org/Exploit_Delivery_Network_android.tar.gz

http://ht.transparencytoolkit.org/Exploit_Delivery_Network_windows.tar.gz

在Exopoit_Delivery_Netwokr_Andorid.Tar中，發(fā)現(xiàn)兩條中國IP被攻擊記錄：

如在文件夾“jAWxkt”中，log.jsonl顯示一北京IP在2015年6月26日，訪問了攻擊漏洞連接，訪問機(jī)型為華為G700。 

“data”目錄中的redir.js顯示，攻擊重定向地址為www.myasianporn.com，為亞洲色情網(wǎng)站。 

在wikileaks數(shù)據(jù)庫中查詢附件“jAWxkt”，可以查到是韓國發(fā)起的攻擊。

https://wikileaks.org/hackingteam/emails/emailid/1079019 

按照同樣的方法可以同樣可以查到，在文件“vYLpBL”中，log.jsonl顯示一遼寧IP在2015年6月18日，訪問了攻擊漏洞連接，訪問機(jī)型為三星9008。重定向地址為www.5zuo2.com，為亞洲色情網(wǎng)站。有意思的是，遼寧是距離韓國最近的一個省了。

郵件證據(jù)：

https://wikileaks.org/hackingteam/emails/emailid/1079521 

服務(wù)器控制端證據(jù)： 

 #p#

0x02 哈薩克斯坦證據(jù) 

哈薩克斯坦國家安全委員會下屬部門SIS(SIS of NSC)與Hacking Team有密切合作。

從郵件中找到，哈薩克斯坦交流的對應(yīng)人員的郵箱為：eojust@gmail.com

https://wikileaks.org/hackingteam/emails/emailid/551971 

郵件中搜索到針對中國的證據(jù)：

https://wikileaks.org/hackingteam/emails/emailid/69177

郵件中表明目標(biāo)電腦可能安裝了國內(nèi)殺毒軟件導(dǎo)致一個月沒有再上線了。 

這個就是受控機(jī)軟件列表：

Device:
Content: Processor: 2 x Intel(R) Core(TM)2 Duo CPU     E7200  @ 2.53GHz
Memory: 1548MB free / 2045MB total (24% used)
Disk: 211011MB free / 229944MB total
Battery: AC Connected - 0%
OS Version: Microsoft Windows XP (Service Pack 3) (32bit)
Registered to: user (oemxp) {76481-640-3060005-23096}
Locale settings: zh_CN (UTC +08:00)
Time delta: +00:00:00
User: ShiYongRen (ShiYongRen) {ADMIN}
SID: S-1-5-21-1238585575-1299394864-243974745-1006
Drive List:
C:\ (disk)
D:\ "新加卷" (disk)
E:\ (cd-rom)

Application List:
360殺毒   (4.2.2.4092)
360安全衛(wèi)士   (9.1.0.2002)
Adobe Flash Player 11 ActiveX   (11.9.900.117)
ATI Display Driver   (8.471-080225a1-059746C-ATI)
暴風(fēng)看電影   (1.22.1017.1111)
智能五筆
系統(tǒng)補(bǔ)充驅(qū)動包
飛信2013   (2013)
freeime 6.1   (6.1)
Windows Internet Explorer 8   (20090308.140743)
Windows Genuine Advantage Validation Tool (KB892130)
WPS Office 2007 專業(yè)版 (6.3.0.1328)   (6.3.0.1328)
OrderReminder hp LaserJet 101x   (1.0)
谷歌金山詞霸合作版   (2008.07.17.1.212)
Microsoft Office Professional Plus 2007   (12.0.6612.1000)
搜狗拼音輸入法 3.2 正式版 (3.2.0.0590)
暴風(fēng)影音5   (5.29.0926.2111)
Thunder BHO Platform 2.2.0.1035
迅雷7
WinRAR 5.00 beta 5 (32 位)   (5.00.5)
騰訊QQ2013   (1.96.7979.0)
hp LaserJet 1010 Series   (3.00.0000)
Apple 應(yīng)用程序支持   (2.3.4)
Apple Software Update   (2.1.3.127)
Bonjour   (3.0.0.10)
Microsoft Office File Validation Add-In   (14.0.5130.5003)
iTunes   (11.0.4.4)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161   (9.0.30729.6161)
Adobe Reader 8.1.2 - Chinese Simplified   (8.1.2)
Apple Mobile Device Support   (6.1.0.13)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022.218   (9.0.21022.218)
迅雷看看播放器   (4.9.9.1734)
迅雷看看高清播放組件

Application List:
360殺毒   (4.2.2.4092)
360安全衛(wèi)士   (9.1.0.2002)
Adobe Flash Player 11 ActiveX   (11.9.900.117)
ATI Display Driver   (8.471-080225a1-059746C-ATI)
暴風(fēng)看電影   (1.22.1017.1111)
智能五筆
系統(tǒng)補(bǔ)充驅(qū)動包
飛信2013   (2013)
freeime 6.1   (6.1)
Windows Internet Explorer 8   (20090308.140743)
Windows Genuine Advantage Validation Tool (KB892130)
WPS Office 2007 專業(yè)版 (6.3.0.1328)   (6.3.0.1328)
OrderReminder hp LaserJet 101x   (1.0)
谷歌金山詞霸合作版   (2008.07.17.1.212)
Microsoft Office Professional Plus 2007   (12.0.6612.1000)
搜狗拼音輸入法 3.2 正式版 (3.2.0.0590)
暴風(fēng)影音5   (5.29.0926.2111)
Thunder BHO Platform 2.2.0.1035
迅雷7
WinRAR 5.00 beta 5 (32 位)   (5.00.5)
騰訊QQ2013   (1.96.7979.0)
hp LaserJet 1010 Series   (3.00.0000)
Apple 應(yīng)用程序支持   (2.3.4)
Apple Software Update   (2.1.3.127)
Bonjour   (3.0.0.10)
Microsoft Office File Validation Add-In   (14.0.5130.5003)
iTunes   (11.0.4.4)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161   (9.0.30729.6161)
Adobe Reader 8.1.2 - Chinese Simplified   (8.1.2)
Apple Mobile Device Support   (6.1.0.13)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022.218   (9.0.21022.218)
迅雷看看播放器   (4.9.9.1734)
迅雷看看高清播放組件

0x03 結(jié)語

這些已泄露的信息可以表明，中國才是國際化網(wǎng)絡(luò)攻擊的受害者。在報告中發(fā)現(xiàn)一些亞洲地區(qū)國家對我國進(jìn)行的網(wǎng)絡(luò)攻擊竊密的鐵證，甚至一些攻擊已經(jīng)得手，成功的控制了國內(nèi)目標(biāo)的PC或手機(jī)。攻擊方還會對新發(fā)現(xiàn)的問題做針對性的要求，保證更隱秘的監(jiān)控與機(jī)密信息的回傳。切記!這些都不是電影情節(jié)，而是已真實發(fā)生的國家級網(wǎng)絡(luò)安全的較量。

有趣的發(fā)現(xiàn)是，一些沒有信心獨立完成整個攻擊過程的國家會更傾向于尋求這種“網(wǎng)絡(luò)軍火商”的幫助，因為對攻擊過程的隱蔽以及可靠性要求極高，攻擊過程不允許出現(xiàn)半點馬虎，必須保證行動的精準(zhǔn)并且有效。而一些”網(wǎng)絡(luò)部隊“發(fā)達(dá)的國家則更喜歡自己來，以此保證動機(jī)與行動的隱蔽性。

最后，從烏云社區(qū)從對HackingTeam泄露的郵件以及工單內(nèi)容分析來看，國際上對我國的網(wǎng)絡(luò)間諜行為是真實存在的，組織嚴(yán)明行動縝密，如不是這次互聯(lián)網(wǎng)“軍火庫”的泄密事件，很多細(xì)節(jié)與事實對于我們來說仍然毫不知情，相信這次事件也將成為網(wǎng)絡(luò)安全的里程碑，讓我們所有人都深刻的意識到國家網(wǎng)絡(luò)安全的重要與緊迫性。