Longhorn黑客組織就來自中情局：CIA已經針對16個國家發起過攻擊

賽門鐵克的研究人員最近發現，維基解密近期公開的CIA泄露文檔：Vault 7提到的工具的確在先前的攻擊中使用過。從賽門鐵克的調查來看，攻擊瞄準了至少16個國家的40個目標。賽門鐵克先前就曾經關注過這個神秘的APT黑客組織，該黑客組織當時被賽門鐵克命名為Longhorn（長牛角）。

賽門鐵克特別提到，Longhorn組織所用黑客工具、策略與Vault 7文檔中提到的非常相似。Longhorn小組所用的加密協議也與Vault 7文檔中的內容不謀而合，並且Vault文檔中提到的一些規避檢測方式也曾為Longhorn所用。由於這些相似性，賽門鐵克的研究人員推測，這些工具就是來自同一組織。

至少從2011年開始，Longhorn就一直處於活躍狀態。除了0day漏洞以外，它還使用了一系列後門木馬來對目標進行哦攻擊。除了金融，電信，能源，航空航天，信息技術，教育和自然資源部門的目標之外，Longhorn已經滲透了政府和國際機構。所有這些組織都可能是國家黑客的目標。

Longhorn已經在16個國家感染了40個目標，範圍覆蓋中東、歐洲、亞洲和非洲。不過賽門鐵克並未指名是哪些國家和機構組織遭遇攻擊。據說曾經有一次，一台位於美國的計算機遭到入侵，但是在感染之後，卸載程序在數小時後啟動，這可能表明這個受害者是無意中感染的。

與Vault 7的聯繫

Vault 7文檔揭露了CIA惡意軟體的規格和使用要求。其中一份文檔記載了一個名叫Fluxwire的惡意軟體的開發時間線，包括新功能的加入時間等。

而賽門鐵克發現的一種名為Corentry的惡意軟體，其早期版本曾經引用了Fluxwire程序資料庫文件(PDB)路徑。Vault 7文檔將移除PDB路徑寫入了3.5.0版的changelog中。

到了2014年，Corentry開始使用GCC編譯。根據Vault 7文檔，2015年2月25日，Fluxwire 3.3.0版開始使用MSVC編譯器。也就是說，Vault 7文檔中記載的改變從賽門鐵克截獲的病毒樣本中體現了出來——Fluxware應該就是賽門鐵克捕獲的Corentry了。

Corentry版本號和編譯日期與Fluxwire 版本號編譯日期比較

還有一份Vault 7文檔則記錄了Fire和Forget，這是由Archangel生成的對用戶模式進行注入的payload。Payload的具體參數和載入的interface與另一款Longhorn使用的黑客工具Backdoor.Plexor非常匹配。

第三份相關文件概述了惡意軟體應遵循的加密協議。包括在SSL中使用內部加密防止中間人（MITM）攻擊，每次連接換一次密鑰，以及使用帶有32位密鑰的AES加密。這些要求所有Longhorn工具中所遵循的加密方案相一致。

其他Vault 7文檔記載的內容還包括，使用實時傳輸協議（RTP）作為與C＆C伺服器通信的手段，採用將「使用後擦除」作為標準，內存中的字元串去混淆、使用唯一的字元串混淆時間密鑰，以及使用涉及重命名和重寫的安全擦除協議。賽門鐵克注意到，Longhorn所使用的工具遵循了上述所有規範。 雖然其他惡意軟體也會使用到其中一些做法，但事Longhorn遵循了所有規範，這點很可疑。

Longhorn的黑客行動

儘管Longhorn自2011年開始活躍，有些證據卻能將他們的活動時間追溯到2007年。Longhorn 在2014年因使用CVE-2014-4148而進入賽門鐵克視野，這個0day漏洞exp是嵌入在Word文檔中的，以Plexor感染目標。

這個惡意軟體顯然出自十分高超的黑客組織，除了使用了0day漏洞，從軟體中可以看出，黑客對要入侵的目標環境十分了解。

到目前為止，賽門鐵克發現Longhorn攻擊了16個不同國家的40個目標。 Longhorn對這些目標使用了四種不同的惡意軟體工具：Corentry，Plexor，Backdoor.Trojan.LH1和Backdoor.Trojan.LH2。

在目標部署惡意軟體時，Longhorn黑客小組會預先進行配置，簡單來說就是定一個代號，這個代號可以用來區分回傳給攻擊者的C&C域名和IP地址。代號通常是一些大寫的單詞，引用時的參數為「groupid」和「siteid」。通過觀察40個被攻擊目標的代號，賽門鐵克發現，這些名稱的來源包括電影、角色、食物或者音樂。例如為了致敬The Police樂隊，黑客使用了REDLIGHT和ROXANNE作為代號。

Longhorn的惡意軟體中包含一個很長的列表，列表中的是一些用於遠程控制感染電腦的命令。另外，大部分的惡意軟體都可以通過增加插件和模塊進行定製。

Longhorn的惡意軟體似乎是專門針對那些大型攻擊的。軟體中包含細緻的系統指紋識別、和數據滲漏。為了保證不被檢測出來，病毒只在選定的時間進行外部通信，上傳文件時設置了限速，通信間隔進行了隨機化。

至於C&C伺服器，Longhorn會對每個目標設置單獨的域名和IP。那些域名應該是由黑客註冊的，不過使用了隱私保護服務。而這些域名指向的是正規公司提供的VPS機房。與C&C伺服器通信時，病毒會使用HTTPS防止內容被檢測出來。

在Vault 7泄露事件之前，賽門鐵克就曾評估稱Longhorn資源雄厚，評估的依據是它的目標遍布全球，並且使用的工具、0day相對高級。根據軟體時間戳和域名註冊時間來看，這個黑客組織似乎在周一至周五的工作日工作，這與「國家黑客」相吻合。

賽門鐵克的分析發現多處跡象表明，Longhorn黑客組織來自一個說英語的北美國家。惡意軟體中使用了MTWRFSU (Monday Tuesday Wednesday ThuRsday Friday Saturday SUnday)來配置與C&C伺服器通信的時間。這樣的縮寫在北美很常見。另外一些代碼也具備北美國家特徵，如SCOOBYSNACK（如上圖所示）。而根據編譯時間判斷，黑客應該位於美洲。

基於以上這些特徵，包括使用的工具，手法、步驟等特徵，我們幾乎可以認定，之前的Longhorn黑客組織與CIA有很大聯繫。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！