鲁达 8月11日深夜,乌云漏洞平台曝出猛料:有乌云白帽对网络军火商“HackingTeam”泄露的信息深入挖掘,发现中国一直都是网络核攻击的受害者。比如我们的“好邻居”韩国,早就与网络军火商合作采购间谍软件与漏洞,对国内目标发动攻击并已得手,而这些惊人的秘密也随着白帽的分析报告公布于众…
乌云平台特别指出:这不是电影情节!
0x00 背景
Hacking Team是一家在意大利米兰注册的软件公司,主要向各国政府及法律机构销售入侵及监视功能的软件。其远程控制系统可以监测互联网用户的通讯,解密用户的加密文件及电子邮件,记录Skype及其它VoIP通信,也可以远程激活用户的麦克风及摄像头。
Hacking Team总部在意大利,雇员40多人,并在安纳波利斯和新加坡拥有分支机构,其产品在几十个国家使用。
7月5日晚,Hacking Team服务器被攻击,其掌握的400GB数据泄露出来,由此引发的动荡,引起了业界一片哗然。里面有Flash 0day、Windows字体0day、iOS enterprise backdoor app、Android selinux exploit、WP8 trojan等等核武级的漏洞和工具,其远程控制系统可以突破系统默认以及杀毒软件的安全防护,后台监控用户的网络通讯、解密用户的加密文件及电子邮件,记录Skype和其它VoIP工具的聊天内容,以及远程激活用户的麦克风及摄像头。
本文为Hacking Team泄露的400GB数据当中,查到韩国和哈萨克斯坦曾跟Hacking Team合作利用其开发漏洞利用工具发起针对中国攻击的证据。
0x01 韩国方面证据
通过曝光的Hacking Team客户列表文件,可以看到韩国的5163部队“5163 army”是其中一个客户。
维基解密网站将曝光的Hacking Team邮件数据制作成数据库,可以通过关键词、邮件收发者、附件名等方式进行检索,网站地址:wikileaks.org/hackingteam/emails
而在韩国是没有“5163 army”这个部队的。搜索了一下邮件里5163 army的地址,“Seocho P.O Box 200, Seocho-dong”,正是韩国国情院(NIS)所在地,韩国的联系人为nanatechco@。
根据客户列表中的CODE可以查到韩国使用RCS系统所对应的联系人为devilangel1004@gmail.com,而这个邮箱与Hacking Team的邮件交流中,曾多次谈到针对中国攻击的邮件。
该邮件明确表示,有部分目标在中国,希望找到绕过本土杀毒软件的方法。
这是在中国的一些目标,无法通过GSM回传数据,猜测中国ISP服务商屏蔽了一些IP段。
邮件中还列出了被控制中文系统电脑上的软件。
Application List (x86):
115浏览器 1.0 )
360杀毒 )
360压缩 )
360安全卫士 )
360手机助手 )
Adobe Flash Player 11 ActiveX )
Adobe Flash Player 10 Plugin )
交通银行网银安全控件 V1.0.0.5 )
东亚中国网上银行安全Key软件 (ϩ)
中国农业银行证书安全控件卸载
中国农业银行网上银行证书工具软件 飞天诚信 Extend KEY 卸载 (20120612)
LinkSkype_Setup )
Microsoft .NET Framework 2.0
MSNLite )
QvodPlayer(快播) v3.5 )
搜狗拼音输入法 6.5正式版 )
搜狗壁纸 1.5版 )
千千静听 5.9.6 )
Windows Live 软件包 )
WinRAR 压缩文件管理器
人人桌面
腾讯QQ2012 )
Free Launch Bar )
Windows Live 上载工具 )
中国农业银行网上银行安全控件 v2.3.6.0
中国农业银行网上银行证书工具软件(旋极信息)
Microsoft Office Professional Edition 2003 )
Compatibility Pack for the 2007 Office system )
迅雷5 )
Windows Live 登录助手 )
REALTEK GbE & FE Ethernet PCI-E NIC Driver )
Skype(TM) 5.9 )
Intel(R) Graphics Media Accelerator Driver )
Realtek High Definition Audio Driver
中国银行网上银行安全控件 2.1
暴风影音 V3.10.07.30
泄露的400G文件中,Exo为Hacking Team针对电脑系统的远程漏洞攻击服务器数据, Exo为Hacking Team针对安卓系统的远程漏洞攻击服务器数据。
在Exo中,发现两条中国IP被攻击记录:
如在文件夹“jAWxkt”中,log.jsonl显示一北京IP在2015年6月26日,访问了攻击漏洞连接,访问机型为华为G700。“data”目录中的redir.js显示,攻击重定向到一个网址www.mya,为一亚洲色情网站。
在维基解密数据库中查询附件“jAWxkt”,可以查到是韩国发起的攻击。
按照同样的方法还可以查到,在文件“vYLpBL”的log.jsonl文件中,显示有一辽宁IP,在2015年6月18日访问了攻击漏洞链接,访问机型为三星9008。重定向地址为www.5zuo2.com,同样是一个亚洲色情网站。
0x02 哈萨克斯坦证据
在客户列表文件中,同样可以发现哈萨克斯坦国家安全委员会下属部门SIS(SIS of NSC)与Hacking Team有密切合作。
从邮件中找到,哈萨克斯坦交流的对应人员的邮箱为:eojust@gmail.com
邮件中搜索到针对中国的证据如下:
邮件中透露,目标电脑的监控后门已经一个月没有上线了,猜测可能因为安装了杀毒软件。
这个就是受控电脑的配置:
Device:
Content: Processor: 2 x Intel(R) Core(TM)2 Duo CPU E7200 @ 2.53GHz
Memory: 1548MB free / 2045MB total (24% used)
Disk: 211011MB free / 229944MB total
Battery: AC Connected - 0%
OS Version: Microsoft Windows XP (Service Pack 3) (32bit)
Registered to: user (oemxp) {76481-640-3060005-23096}
Locale settings: zh_CN (UTC +08:00)
Time delta: +00:00:00
User: ShiYongRen (ShiYongRen) {ADMIN}
SID: S-1-5-21-1238585575-1299394864-243974745-1006
Drive List:
C:\ (disk)
D:\ "新加卷" (disk)
E:\ (cd-rom)
受控电脑上安装的软件
Application List:
360杀毒 )
360安全卫士 )
Adobe Flash Player 11 ActiveX )
ATI Display Driver )
暴风看电影 )
智能五笔
系统补充驱动包
飞信2013 (2013)
freeime 6.1 )
Windows Internet Explorer 8 )
Windows Genuine Advantage Validation Tool (KB892130)
WPS Office 2007 专业版 ) )
OrderReminder hp LaserJet 101x )
谷歌金山词霸合作版 )
Microsoft Office Professional Plus 2007 )
搜狗拼音输入法 3.2 正式版 )
暴风影音5 )
Thunder BHO Platform 2.2.0.1035
迅雷7
WinRAR 5.00 beta 5 (32 位) )
腾讯QQ2013 )
hp LaserJet 1010 Series )
Apple 应用程序支持 )
Apple Software Update )
Bonjour )
Microsoft Office File Validation Add-In )
iTunes )
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 )
Adobe Reader 8.1.2 - Chinese Simplified )
Apple Mobile Device Support .0.13)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022.218 )
迅雷看看播放器 )
迅雷看看高清播放组件
0x03 结语
以上已泄露的信息可以表明,中国才是国际化网络攻击的受害者。在报告中发现一些亚洲地区国家对我国进行的网络攻击窃密的铁证,甚至一些攻击已经得手,成功的控制了国内目标的PC或手机。攻击方还会对新发现的问题做针对性的要求,保证更隐秘的监控与机密信息的回传。切记!这些都不是电影情节,而是已真实发生的国家级网络安全的较量。
有趣的发现是,一些没有信心独立完成整个攻击过程的国家会更倾向于寻求这种“网络军火商”的帮助,因为对攻击过程的隐蔽以及可靠性要求极高,攻击过程不允许出现半点马虎,必须保证行动的精准并且有效。而一些”网络部队“发达的国家则更喜欢自己来,以此保证动机与行动的隐蔽性。
最后,从乌云社区从对HackingTeam泄露的邮件以及工单内容分析来看,国际上对我国的网络间谍行为是真实存在的,组织严明行动缜密,如不是这次互联网“军火库”的泄密事件,很多细节与事实对于我们来说仍然毫不知情,相信这次事件也将成为网络安全的里程碑,让我们所有人都深刻的意识到国家网络安全的重要与紧迫性。
写在最后:据了解,一直以来,中国在国际上多次被指责是网络战争的侵入方,虽然面对这些无稽之谈我们均予以了反驳,但不可否认的是网络空间战已经进行到白热化的程度。此次乌云发布的相关报告首次以第三方调查内容证明中国才是网络战争中的受害者一方,详实的证据已让事实不容反驳。可以预见的是,随着国际形势的进一步演变,未来的网络空间战仍将愈演愈烈。