五眼联盟入侵俄罗斯搜索引擎Yandex,美国不予置评

作者:深圳市网安计算机安全检测技术有限公司 | 省内 2019/07/01 10:52:53 457
文章来源:https://mp.weixin.qq.com/s/IR7h7TmjsIEvOFQIiBnpkQ

        五眼联盟,是英美协定下逐渐的情报分享机构,成员有美国、英国、新西兰、澳大利亚和加拿大,可见这几个国家无一例外都是以英语为母语的国家,可见其专门为英语国家提供情报共享。
        网传,在冷战时期,五眼联盟推出了梯队监视系统,它主要监视前苏联和XX的通信,现在则用来监视全球数十亿人的私人通信。
        而本次攻击事件中涉及的主体为俄罗斯的搜索引擎Yandex。
        据路透社独家报道,俄罗斯最大搜索引擎公司Yandex在2018年10月和11月期间遭受Regin的恶意攻击,其攻击目标似乎想要搜寻能够解释Yandex认证用户账户方式的技术信息。这类信息可能有助于间谍机构假扮为Yandex用户,取得他们的私人讯息。

6e7903bded6a383fb57d0c6e7b83cc39.png

        Yandex是俄罗斯重要网络服务门户之一。据Gallup传媒,ФОМ 和 Комкон调查公司资料,Yandex是俄罗斯网络拥有用户最多的网站。2006年初每天访问Yandex的人数(包括外国访问者)达到四百万。Yandex目前所提供的服务包括搜索、最新新闻、地图和百科、电子信箱、电子商务、互联网广告及其他服务。Yandex在俄罗斯本地搜索引擎的市场份额已远超俄罗斯Google。
        如网传方式所言,其攻击目的疑似为冒充Yandex用户,就像冒充百度用户一般。

1a769d9914f927d9ee42068e67531d35.png

        安全专家表示,由于黑客使用隐匿技术,要找出黑客攻击事件的源头相当困难。
        而在Yandex系统中发现的部分Regin代码从未在过去已知的任何黑客攻击事件出现过,因此降低了攻击者蓄意利用已知的西方黑客工具来隐藏形迹的可能性。
        三位消息人士说,Yandex向俄罗斯网路安全公司卡巴斯基(Kaspersky)求援,卡巴斯基认为黑客目标为Yandex内的一个开发者小组。
        有人描述了一份卡巴斯基所做的不公开报告,称其结论为黑客可能与西方情报人员使用Regin侵入Yandex有关。
        Yandex相关发言人承认发生了黑客攻击,在当时已发现相关攻击活动并和卡巴斯基安全厂商共同调查,但并未透露更多细节。
        与此同时,美国安全厂商赛门铁克也表示其近几个月也发现了新版的Regin恶意代码。
        只能说,最近消失许久的著名组织的网络活动都开始活跃起来了。
        Regin前生今世
        Regin是一个极为复杂的恶意木马套件,其首次公开披露于2014年11月,被广泛认为由美国NSA和英国情报机构GCHQ共同制作,并用于其五眼联盟收集情报信息为主要目的。
        这款名为Regin的病毒是截至目前最复杂的恶意软件之一,它入侵电脑之后可盗窃该电脑密码、把已删除的文件挖出来等等。此病毒被黑客用于监视、窃取政府、公司以及个人的信息。其与Stuxnet、Flame及Turla/Snake等同为非常高级的间谍软件。
        过去十几年间,Regin已在对世界多个目标进行攻击,其中包括政府机构、私人公司、研究中心和个别人士,其中俄罗斯、沙特阿拉伯和爱尔兰受到的攻击最严重。
        目前,遭此病毒攻击的目标大多数是受影响公司的顾客,大约28%的目标来自电信业,可能通过基础设施对电话和通信路由设备对互联网服务提供商和电信公司进行监控,其余的则来自能源、航空、酒店和研究等行业。
        据悉,“Regin”具有高度可定制化的特点,允许黑客发起远程木马攻击,窃取用户的密码和其他私人数据。例如,该软件可以获知用户点击鼠标的功能、截取被感染计算机上的图片、监控网络流量、从Exchange数据库中分析电子邮件等。
        该恶意软件有五个阶段,除第一阶段外,其他阶段都非常隐蔽,它只在执行完第一阶段后才会执行下一阶段,而且每一个阶段所能提供的有关完整程序包的信息都非常有限,必须拦截全部五个阶段,才能分析和理解具体威胁。

60abe35a89cc421bc3bfc178fabade24.png

        此外,Regin还使用了“模块化方法”,从而针对攻击目标加载定制功能,这与Flamer和Weevil等其他恶意软件的方法相同。另外,有些功能还与2011年9月发现的Duqu恶意软件类似,并可能与去年发现的“震网”(Stuxnet)计算机蠕虫有关联。
下图为Regin通过不同的节点逃避追踪

fa1c39f6dafcf289e04f6f106319b652.png

        有迹象显示,Regin的潜伏甚至达10年之久。
        卡巴斯基指出,很难精确指出Regin的样本最早源自何时,但有些早期版本可回溯至2003年。
        主导了斯诺登棱镜门曝光事件的独立新闻网站The Intercept将背后的操控者指向英美两国。该网站负责的调查披露,Fox IT的安全专家Ronald Prins曾受雇于比利时最大的电信运营商Belgacom,协助其清除Regin。
        据Prins分析,他相信Regin源自英国间谍机构,是美国与英国所使用的间谍工具。已有线索显示,美国国安局或英国政府通信总部最可能是开发与操控Regin的幕后主谋。从感染区域来看,俄罗斯占了28%,沙特阿拉伯占24%
        此前奇安信威胁情报中心曾总结了Regin相关事件历史的时间线信息:
2003年,Regin早期样本的时间戳;
2008-2011年,Regin针对多个组织的攻击活动(赛门铁克披露);
2009年,F-Secure在北欧的Windows服务器上曾发现Regin活动;
2012年春,研究人员在分析Duqu时发现Regin相关事件,卡巴开始跟踪分析;
2013年6月21日,比利时电信运营商Belgacom遭受Regin攻击;
2013年,Regin新的版本(赛门铁克披露);
2014年11月24日,卡巴斯基、赛门铁克、F-Secure和The Intercept共同披露Regin活动;
2018年10-11月,俄罗斯搜索引擎公司Yandex遭受Regin攻击,其目标为用户账户信息;
2019年6月28日,路透社独家披露Yandex在2018年遭受Regin攻击事件,同时赛门铁克也声称在过去数月发现Regin的新样本。
总结
放出这一消息的路透社,是目前英国最大的通讯社和西方四大通讯社之一。
而英国为五眼联盟传言,并且Regin恶意软件疑似为美国与英国所使用的间谍工具。
而再牛逼的通讯社也要为自家考虑颜面,所以说此举,为谁所为?


推荐关注

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室