E安全3月13日讯 据卡巴斯基实验室的安全研究人员库尔特·鲍姆加特纳发现的证据显示，美国黑客和俄罗斯黑客在刚刚过去的这个冬天入侵了中国一家航空航天军事企业的服务器， 留下了网络间谍工具，卡巴斯基目前未透露这家中国企业的名称。鲍姆加特纳表示，这种情况比较罕见，以前从未发现俄罗斯黑客组织 APT28与美国 CIA 黑客组织 Lamberts （又被称为“长角牛”Longhorn）攻击同一个系统。

工具暴露身份

研究人员发现黑客攻击这台服务器使用的工具与 Lamberts 和 APT28 有关。研究人员表示，Lamberts 使用数据嗅探器被动收集信息，但目前尚不清楚嗅探到了哪些数据。这些嗅探工具与维基解密泄露的 Vault 7文件有关。

鲍姆加特纳表示，APT28 在这台服务器上留下了一些已知的模块，包括键盘记录器、文件窃取器和远程访问软件。研究人员之所以判定这些工具属于该黑客组织，是因为 APT28 使用了一种只有他们曾使用过的加密技术。

目前尚不清楚 Lambert 和 APT28 是否分别入侵了这台中国服务器，或其中一个黑客组织借用了另一方的代码。

展开全文

APT28转向亚洲 目标存在重叠

APT28 主要将目标瞄向美国和欧洲的目标，尤其与北约有关的西方目标，但卡巴斯基表示，这并非 APT28 的所有目标。2017年至2018年，多个不同的黑客组织在中亚和东亚的攻击目标似乎存在重叠现象。APT28 一直对该地区的军事和外交事务组织机构备感兴趣，该组织与其它黑客组织的目标存在重叠和竞争的现象：

Mosquito Turla 和 Zebrocy – APT28 利用 Zebrocy 工具瞄准欧洲和亚洲的外交和商业组织机构，这些攻击目标与 Mosquito Turla 一致。

SPLM 与传统的 Turla 存在重叠，Turla 常先于 SPLM 部署。

SPLM 与 Zebrocy重叠，Zebrocy 常先于 SPLM 部署。

SPLM 与 Danti 存在重叠。

Mosquito Turla 和 Zebrocy – APT28 利用 Zebrocy 工具瞄准欧洲和亚洲的外交和商业组织机构，这些攻击目标与 Mosquito Turla 一致。

SPLM 与传统的 Turla 存在重叠，Turla 常先于 SPLM 部署。

SPLM 与 Zebrocy重叠，Zebrocy 常先于 SPLM 部署。

SPLM 与 Danti 存在重叠。

目前，APT28 主要使用 SPLM 工具攻击中国大型航空航天国防商业组织机构，并将 Zebrocy 的攻击重点转移至亚美尼亚、土耳其、哈萨克斯坦、塔吉克斯坦、阿富汗、蒙古、中国和日本。此前，另一家安全厂商曾发布报告推测，APT28 对中国的大学感兴趣，但这份报告已被删除。APT28 此次针对中国一家航空航天军事企业，该组织可能觊觎中国的军事技术。

APT28 此次攻击的目标曾是美国 CIA Lamberts 的目标。APT28 在该系统上的模块似乎从未接触磁盘，与 Linux Fysbis 代码类似。研究人员未在这目标系统上发现完整的 SPLM 后门，也没有发现任何 Powershell 加载脚本，这一点非同寻常。因为在这样一个独特的系统中，注入源头仍然未知，研究人员为此提出几种假设：

APT28 记录了 Grey Lambert 的远程会话，并在发现这个主机后重播了通信，实际上是攻击了系统上的 Grey Lambert 模块获取访问权限，之后再注入 SPLM 模块。

Grey Lambert 黑客插上“假旗”，减少 SPLM 模块。

SPLM 的新变种设法将模块代码注入内存，并自行删除。

利用新型 Powershell 脚本或存在漏洞的合法 Web 应用程序加载并执行这个不同寻常的 SPLM 代码。

APT28 记录了 Grey Lambert 的远程会话，并在发现这个主机后重播了通信，实际上是攻击了系统上的 Grey Lambert 模块获取访问权限，之后再注入 SPLM 模块。

Grey Lambert 黑客插上“假旗”，减少 SPLM 模块。

SPLM 的新变种设法将模块代码注入内存，并自行删除。

利用新型 Powershell 脚本或存在漏洞的合法 Web 应用程序加载并执行这个不同寻常的 SPLM 代码。

研究人员认为，最后一种假设的可能性最大。鲍姆加特纳表示，CIA 和 APT28 均攻击了这台服务器上易遭受攻击的 Web 应用程序，但拒绝透露具体的应用名称。

CIA 拒绝就卡巴斯基的发现做出评论。

原文地址：https://www.easyaq.com/news/1999768448.shtml

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。