云图(CloudAtlas):网络间谍活动“红色十月”重现江湖

卡巴斯基实验室的安全研究人员发现,攻击者正在筹划一个代号为“云图”的新兴网络间谍活动,而这与两年前发生的全球大型间谍活动“红色十月”如出一辙。

FreeBuf科普:关于“红色十月”

在2012年10月,卡巴斯基实验室全球研究&分析团队发起了一项关于新威胁的研究,研究的目标是目前针对各种国际外交服务机构的网络攻击。在调查过程中,一个大型的网络间谍网络被揭露和分析,我们称之为“红色十月(RedOctober)”(来源于著名的小说《猎杀红色十月»)

Red October的攻击者从数个国家的外交、政府、军事、科研机构、石油公司、贸易公司等中窃取了大量的机密信息,这些国家主要是东欧国家、前苏联成员国和中亚国家。

在卡巴斯基公开揭露Red October的间谍活动之后,该组织立即中断了他们的行动,还把他们攻击时所使用的命令与控制(C&C)服务器报废了。研究人员称,像如此大规模的网络间谍活动,攻击者们往往投入巨大,因而不会轻易罢手。于是仅仅在Red October暂停了数月后,改头换面后的Red October——“云图(CloudAtlas)”出现了。

“红色十月”和“云图”的异同

自2014年8月份以后Red October就再也没有出现过。近期研究者们检测到一系列利用CVE-2012-0158而发动的攻击以及一个不同寻常的恶意程序,研究者们把这次的网络攻击活动命名为“云图(CloudAtlas)”。

研究者们注意到CloudAtlas与Red October有很多相似之处,如都使用了同种钓鱼攻击:都使用了名为Diplomatic Carfor Sale.doc的恶意文件,针对相同的攻击目标,使用相同的TTP(技术、策略和程序),相同的攻击工具。这么多相似之处,使我们不得不相信CloudAtlas就是Red October的“复刻版”。

利用云服务器作为攻击设施

但是他们之间也有一些不同之处,如加密算法:RedOctober使用的是RC4,CloudAtlas使用的是AES。

专家们还发现了CloudAtlas的一些特别之处,CloudAtlas使用的命令与控制(C&C)服务器来自瑞典云供应商CloudMe,也就是说攻击者利用云服务器与受害者的机器进行网络通信。云服务提供商CloudMe已在其官方Twitter上证实了这一点,他们现在正在关闭所有与CloudAtlas C2有关的账户。