CIA也曾对Hacking Team漏洞利用库组件展开研究

原创： E安全 E安全 2018-08-20

2015年7月，意大利间谍软件制造商Hacking Team创建的漏洞利用库组件遭泄露，黑客们陆续捡漏乐开了花。

Hacking Team是一家专注于开发网络监听软件的公司，他们开发的软件可以监听几乎所有的桌面计算机和智能手机，包括Windows、Linux、Mac OS、iOS 、Android、Blackberry、Symbian等等，Hacking Team不仅提供监听程序，还提供能够协助偷偷安装监听程序的未公开漏洞（0day），真是全套服务。

目前政府能够通过反病毒产品检测到这些泄露的代码构建的工具，这要归功于协助政府进行监控活动的Hacking Team。

尽管如此，网络安全专家仍然非常苦恼。黑客们除了将该代码写入自己的恶意软件中，他们中人完全有能力自行开发更高效的漏洞利用，有效地规避安全检测。

Cylance公司威胁情报总监乔·格罗斯却认为规避安全检测并没有多大意义。因为尽管发现地下犯罪组织正在这样做，也不会立刻怀疑这是高级可持续性威胁（APT）的做法。”

Hacking Team被泄露的漏洞利用库组件具有很大的利用价值

Phineas Phisher自称是一名黑帽子黑客。他在2015年攻击Hacking Team之后，在网上公布了大量Hacking Team内部资料的和其他数据。众所周知，这些东西如果没有泄露，若存在能够感染最新版本的iOS和Andriod的漏洞利用，政府很可能要破费几十万欧元向Hacking Team购买。

iSight间谍分析总监约翰•胡尔特奎斯特称，Hacking Team数据泄露的几个小时内，因2016年成功入侵美国民主党国家委员而“名声大噪”的俄罗斯精英黑客组织“APT28”（或Fancy Bear）不仅成功搜寻到被泄的代码，而且已经应用到黑客行为中。

Synack的研究总监帕特里克•沃德尔称上个月发现一个APT28近期被曝光的间谍工具。这款工具是专门设计用来将代码注入苹果Mac OSX软件和iPhone iOS备份协议中，而其中就包含Hacking Team的代码。他们这样做或许是因为懒惰，也很可能是故意混淆归因。

混淆归因在黑客行为中很“流行”

Cylance近期发布了研究报告，分析了黑客利用Hacking Team泄露的代码签名证书，通过恶意软件对日本公司和个人实施持续性的高级黑客行动。格罗斯发表博文探讨了Cylance的研究。他认为攻击日本企业和个人的真正的幕后黑手是“蛇酒”（Snake Wine）。攻击者使用Hacking Team的代码也许是故意混淆归因，隐藏身份。

“蛇酒”之前通过中国的计算机发起过一些网络攻击，但其之前曾采用Unwire技术和其它知名企财团特有的签名让调查人员无迹可寻。

卡巴斯基实验室的高级安全研究员穆罕默德表示，因恶意软件开发人员的指标（Indicator）可以伪造，要在互联网上找到威胁攻击者的归因相当困难。

Cylance称按照卡巴斯基实验室安全研究员的推理，“蛇酒”最近在利用与APT28域名有关的小型名称服务器。乍一看，调查人员可能会混淆，但经仔细检查后就会发现攻击日本使用的恶意软件似乎与APT28的工具没有关联。