攻击者只要继续工作就更喜欢重复使用代码和工具。在这种传统中,研究人员发现了证据表明,网络增长群体仍在成功地使用20年前首次部署在攻击中的工具和基础设施。
月光迷宫是指1990年代中期到现场的针对美国军事和政府网络,大学和研究机构的攻击浪潮。尽管联邦调查局和国防部调查于1999年公开后,月光迷宫从雷达中消失了,但安全社区中有窃窃私语,网络行动集团从未完全消失。图拉(Turla)是一个讲俄罗斯的攻击组织,也被称为有毒熊,乌鲁布洛斯(Uroburos)和蛇(Snake),被认为是一种可能性,但直到最近,所有链接都是猜测和猜测。
现在,来自卡巴斯基实验室和国王学院伦敦相信他们找到了将Turla和Moonlight迷宫联系起来的技术证据。
在分析了企鹅Turla(Turla使用的基于Linux的后门工具)和Moonlight Maze攻击中使用的基于开源数据提取工具的后门后,研究人员得出结论,它们都是在Phrack Magazine在Phrack Magazine In in Phrack Magazine in in Phrack Magazine in in Phrack Magazine in in Phrack Magazine in in Phrack Magazine in In in Phrack Magazine中建立的。1996年。卡巴斯基实验室研究员Juan Andres Guerrero-Saade表示,Moonlight迷宫后门尚未被部署在现代攻击中,但企鹅Turla使用相同的代码这一事实很重要。
格雷罗·萨德(Guerrero-Saade)说:“这是一个有趣的工具,显然是月光迷宫攻击者的最爱。”
从表面上看,月光迷宫和Turla之间没有很多共同点。Moonlight Maze针对的Sun Solaris系统,并使用受感染的机器在同一网络上寻找更多受害者。一个嗅探器组件收集了受害者机器上的所有活动,创建了攻击者所做的一切的近乎完整的日志。卡巴斯基实验室研究人员在博客文章中写道:“攻击者为永久性创造了自己的数字足迹。”
相比之下,Turla针对Windows机器,并具有几个通常的功能,最值得注意的是,它劫持了未加密的卫星链接,从受害者网络悄悄渗透了数据。但是,使用基于 *NIX的服务器从受损的网络中驱除数据,通常用于第二波攻击中。
网络行动操作和复杂的攻击并不总是与最新的新代码有关。攻击小组在其武器库中回收并重复使用代码,随着其操作的发展,添加了新功能。研究人员能够将后门代码追踪到Linux版本2.2.0和2.2.5于1999年发布的LOKI2,以及2000年代初期的链接二进制文件LibpCap和OpenSSL。该法规仍在使用,因为卡巴斯基实验室上个月看到了针对德国目标的新企鹅图拉样品。
格雷罗·萨德(Guerrero-Saade)表示,一个20年历史的黑客工具仍然可以与现代操作系统和网络攻击有关,这是“恐怖的”。Moonlight迷宫攻击者不必利用任何复杂的技巧来绕过防病毒公司或安全防御。看到旧代码演变成企鹅图拉(Penguin Turla),链接到旧图书馆,并且仍然与现代机器作用,这令人不安。
这两个攻击组的证据来自在月光迷宫攻击中受到损害的服务器。检测到折衷方案后,研究人员开始记录服务器上发生的一切,攻击者将其用作继电器服务器。调查人员在1998年和1999年的六个月内获得了对攻击的全面知名度,包括攻击日志和攻击工具。这些年来,系统管理员一直挂在法医图像上,并与研究人员分享了信息。
格罗·萨德(Guerro-Saade)说:“我们发现了一个时间胶囊。”
虽然将月光迷宫和最近的Turla运动连接的证据表现出色,但研究人员不再说攻击者是同一群体。卡巴斯基实验室没有从事归因,但是有有趣的含义。与卡巴斯基实验室合作的Kings College研究员Thomas Ride说,联邦调查局在1990年代已将调查人员派往莫斯科,调查人员回来说明Moonlight Maze是俄罗斯国家演员的作品。
他们说,研究人员计划继续挖掘,以找到更多联系Moonlight Maze和Turla的技术证据。
这个故事是“旧攻击代码是俄罗斯黑客的新武器”,最初是由Infoworld 。