您的位置: 网界网 > 安全 > 正文

隐藏数十年的网络间谍活动APT30被披露

2015年04月14日 10:35:24 | 作者:佚名 | 来源:FreeBuf.com | 查看本文手机版

摘要:火眼(FireEye)于周日披露了一个长达十年之久的网络间谍活动,主要窃取东南亚和印度地区政府、企业、新闻媒体方面的机密信息。

标签
网络间谍
APT30
FireEye

火眼(FireEye)于周日披露了一个长达十年之久的网络间谍活动,主要窃取东南亚和印度地区政府、企业、新闻媒体方面的机密信息。该间谍活动开始于2005年,是第一个使用恶意程序感染air-gapped网络的间谍组织,火眼(FireEye)将其命名为APT[注]30,据知组织成员大都是著名软件公司的高级软件工程师。

目标锁定在东南亚地区

受影响的地区主要在东南亚,如马来西亚、越南、泰国、尼泊尔、新加坡、菲律宾、印度尼西亚等国家,受影响的行业主要是政治、军事、经济、领土纠纷和新闻媒体。

APT30组织特征

据调查得知该组织使用的工具主要有:下载器、后门、中央控制器和一些其他的组件;这些工具可以感染驱动硬盘并能从air-gapped网络中窃取文件。有些含有特殊命令的恶意程序会开启隐身模式,并会在受害者机器上隐藏很长一段时间。

APT30使用的策略是二级命令与控制进程,第一命令会先测试受害者设备是否应该连接到攻击者的主控制器上。主控制器自身有一个用户图形界面可以操控受害者设备,添加备注,设置警报等。

APT30有一个高度组织化、结构化、系统化的工作流程,他们会给每一次攻击贴上系统化的标签,保证能实时跟踪任意恶意程序。该恶意程序的命令与控制(C2)通信中还包含一个版本检查功能,能自我更新并提供连续不断的更新管理能力。

APT30的目标不是窃取企业的知识产权,也不是窃取企业的尖端技术,而是想直接获得东南亚地区的机密信息,尤其是会对中国政府可能造成一定潜在威胁的信息。

参考资料

1.APT:(Advanced Persistent Threat,高级持续性威胁),是指黑客或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为...详情>>

[责任编辑:鹿宁宁 lu_ningning]