攻击者喜欢重用代码和工具,只要他们继续工作。在这种传统中,研究人员已经发现的证据表明一个网络间谍工作组仍在使用成功,首先在攻击20年前部署工具和基础架构。
月光迷宫指的是有针对性的美国军方和政府网络,大学和研究机构早在中期到90年代末的攻击波。虽然月光迷宫从雷达消失后,联邦调查局和国防部调查科于1999年东窗事发,有安全社区内传闻说网络间谍集团从来没有完全走了。Turla,这也被称为恶毒的熊,Uroburos,和蛇一个讲俄语的攻击群,漂浮作为一种可能性,但直到最近,所有的链接都是猜测和炒作。
现在,研究人员从卡巴斯基实验室和伦敦国王学院相信他们已经找到了技术证据显示Turla和月光迷宫。
分析企鹅Turla(由Turla使用基于Linux的后门工具),并在月光迷宫攻击中使用的开源数据抽取工具型后门后,研究人员得出结论,他们对在Phrack杂志发布的开源LOKI2程序都成立1996年月光迷宫借壳尚未部署在现代的攻击,但企鹅Turla使用相同的代码的事实是显著,卡巴斯基实验室的研究人员胡安安德烈·格雷罗,Saade说。
“这是一个有趣的工具,它显然是一个最喜欢的月光迷宫袭击者的,”格雷罗,Saade说,并指出,43个月光迷宫二进制文件的研究人员研究的九是基于LOKI2借壳的例子。
从表面上看,没有很多月光迷宫和Turla之间的共性。月光迷宫针对性的Sun Solaris系统,并使用被感染的计算机,以寻找在同一个网络上更多的受害者。嗅探器组件收集受害人计算机上的所有活动,创造一切攻击者所做的近乎完整的日志。“攻击者创建自己的数字足迹如履薄冰,”卡巴斯基实验室的研究人员在博客中写道。
相比之下,Turla针对Windows机器和有几个常用的功能,最显着的,它劫持未加密的卫星链路从受害者的网络窃取悄然exfiltrate数据的事实。然而,企鹅Turla通常使用基于* NIX-服务器从受损网络exfiltrate数据第二波攻击。
网络间谍行动和复杂的攻击并不总是对最新的代码。该攻击群再生,并在其武库重用代码,添加新的功能作为其业务发展。研究人员能够跟踪后门代码LOKI2,编译Linux版本2.2.0,并于1999年发布的2.2.5,以及对链接的二进制的libpcap和OpenSSL从21世纪初。该代码是仍然在使用,如卡巴斯基实验室看到了上个月在德国对准目标的新企鹅Turla样本。
格雷罗,Saade说,这是“可怕”的是一个20岁的黑客工具可能仍然是相关的,在反对现代操作系统和网络的攻击成功。月光迷宫攻击者没有采取任何复杂的技巧优势,以绕过反病毒公司或安全防御。而且它令人不安地看到,旧的代码演变成企鹅Turla,链接到旧库,而且还努力反对现代化的机器。
证据绑两个攻击群来自这是在月光迷宫攻击破坏服务器。检测到的妥协后,调查人员开始记录发生的一切的服务器,攻击者使用一个中继服务器上。调查获得了全面的可视性超过六个月的攻击在1998年和1999年,包括攻击日志和攻击工具。系统管理员已经挂到取证的图像,这些年和共享与研究人员的信息。
“我们发现了一个时间胶囊”,Guerro-Saade说。
虽然连接月光迷宫和最近Turla活动的证据确凿,研究人员戛然而止说,袭击者是同一组的。卡巴斯基实验室不从事归属,但也有耐人寻味的意义。联邦调查局曾在上世纪90年代派出调查莫斯科作为调查的一部分,而调查人回来相信月光迷宫俄罗斯国家行动者的工作,摆脱托马斯,国王学院研究员谁与卡巴斯基实验室的工作说。
研究人员计划继续挖掘寻找更多的技术证据表明月光迷宫和Turla,他们说。
这个故事,“老攻击代码是俄罗斯黑客新武器”最初发表InfoWorld的 。