赛门铁克安全研究人员发现黑客入侵亚洲CA机构
- A
赛门铁克的安全人员发现黑客组织 Billbug 在过去至少六个月时间里,正在使用多种恶意程序入侵一家亚洲 CA 机构。
资料显示,黑客组织 Billbug 又称 Lotus Blossom 或 Thrip,是一个历史悠久的 APT 组织,至少成立于 2009 年以前。
赛门铁克安全人员追踪发现,该黑客组织在实施由政府组织资助、以亚洲国家数字证书颁发机构为目标的攻击活动。
据悉,Billbug 在对这家亚洲 CA 机构实施的攻击活动中,使用了 Hannotog 和 Sagerunex 等一些很成熟的黑客软件。
但也同时使用 AdFind、Winmail、WinRAR、Ping、Tracert、Route、NBTscan、Certutil 和 Port Scanner 等合法软件。
安全人员发现,此次攻击活动至少已经持续了六个月,受害者为亚洲不同国家的证书颁发机构和政府以及国防机构。
作为一个专注攻击亚洲国家/地区的黑客组织,Billbug 在此次的攻击活动中已经成功攻陷了亚洲的一家证书颁发机构。
证书颁发机构沦陷的后果不言而喻,毕竟现在互联网上大大小小的网站、App、小程序为不被拦截都部署了 CA 证书。
CA 机构签发的证书对于浏览器和操作系统以及用户都至关追踪重要,毕竟证书是证明特定应用和服务器身份的标识。
就连笔者这小小的博客网站也使用 SSL 加密,毕竟你不用证书就会被主流浏览器提示:非私密连接,存在安全隐患。
对于一般不涉及数据安全的小网站来说,即便证书被破解也影响不大,这玩意儿对他们而言就是为了浏览器小绿锁。
但对涉及交易、用户数据的网站来说,一旦黑客掌握证书颁发机构的基础设施的控制权,那就为其插上了合法翅膀。
毕竟这时黑客可以轻松拦截、篡改证书签名,或者是直接给自己的恶意程序签署证书,非专业人士将很难辨别真伪。
目前,赛门铁克已通知相关证书颁发机构并告知黑客活动的存在,提醒它们注意防范,具体受害者名单并未被公开。
不过,安全人员发现,Billbug 黑客组织似乎一直重复使用很成熟的恶意软件,而没有与时俱进的更新升级其武器库。
比如前文提到的 Hannotog 和 Sagerunex 等黑客工具,以及常见的 AdFind、Ping、Tracert、NBTscan 等合法软件。
NBTscan – 开源命令行 NetBIOS 扫描程序,可以用来扫描 Windows 内网网络环境中 NetBIOS 信息的小工具
AdFind – 合法的域内信息查询工具,用于查询 Active Directory,广泛用于帮助映射网络
WinRAR – 这个就不必细说了,解压缩软件
Ping 和 Tracert – 都是运维常用软件,前者用户确定指定域/文件是否响应,后者确定数据包的传输路径及响应时间
Certutil – Windows 自带渗透工具,可用于解码信息、下载文件和安装浏览器证书等
Port Scanner – 端口扫描工具,用于检测网络上打开的端口和可用端口
当然,上述这几款列举出来的合法软件笔者在日常工作和生活中在频繁使用,倒也没想过这玩意儿也能做黑客工具。
