查看原文
其他

解析伊朗黑客攻击组织 Rocket Kitten

2015-11-13 E安全

来自Check Point公司的安全专家们发布了一份最新报告,旨在对Rocket Kitten APT(即高级持续性攻击)及其背后组织再度加以审视。


  大家是否还记得Rocket Kitten APT?

Rocket Kitten小组自2011年起就被怀疑从事网络恶意活动,而到2014年其活跃程度进一步提升。他们的主要攻击目标设定为中东地区,而且其出发点似乎是为了触及政策研究、外交与其它多种国际性事务。


多家安全厂商已经对Rocket Kitten的活动进行了分析,安全专家们还在努力将该小组与已知黑客团伙关联起来。FireEye公司认为该小组的真身正是网络间谍活动团伙“Operation Saffron Rose”,而iSIGHT Partners的则发现该小组曾经利用主流社交媒体中的虚假账户刺探美国政府官员及全球范围内工作人员的情报。另外,ClearSky公司的专家们发现Thamar Reservoir同样从事着专门针对中东地区的恶意活动——这可能意味着其与Rocket Kitten存在某种联系;再有,Trend Micro公司的研究人员于今年3月发现了被称为Operation Woolen GoldFish的全新黑客团伙,其很可能是由Rocket Kitten的成员所组织。


Rocket Kitten小组确实非常活跃,而且尽管正有多家安全企业在积极进行调查,他们仍然我行我素地通过使用技术储备中的各类不同工具持续进行网络恶意及间谍活动。


Rocket Kitten的黑客们之所以在今天的文章中成为主角,还得归功于Check Point安全公司发布的一份最近报告。Check Point方面在调查某家客户遭受钓鱼攻击的案件时,顺藤摸瓜发现了一台为Rocket Kitten小组所使用的服务器。


根据这份题为《Rocket Kitten:九条命的网络恶猫》的报告所言,这帮黑客利用的是一台常见且未经良好配置的XAMPP Web服务器——正是由于配置失误,入侵者才得以在未经认证的前提下获得root访问权。


Check Point公司的专家们发现Rocket Kitten截至目前已经成功袭击了超过1800位受害者,而所窃取到的信息被保存在此次发现的这台服务器之上。


来自该钓鱼服务器的日志分析显示,大多数访问者来自沙特阿拉伯(占18%),其次分别为美国(17%)、伊朗(16%)、荷兰(8%)以及以色列(5%)。


这份报告指出:

  “经过分析,这份清单被认定以民族国家政治利益为出发点,专门针对那些能够获取相关有价值情报或者直接对抗伊朗的特定受害者。”

  

不过令人意外的是,有26%的访问者正常提交了登录凭证。

  

正常来讲,每一位受害者都对应Rocket Kitten小组内的一名成员,不过在某个特例当中,一位成员就收割了接近700名受害者。而另有一位成员在某次针对人权运动参与者、企业高管以及沙特阿拉伯卫生部官员的恶意攻击当中钓到了522名用户。

  

“在审视这些用户名时,我们发现了一些有可能同伊朗相关的迹象,其中出现了merah_kaveh、ahzab乃至amirhosein等波斯气息浓重的词汇。这些可能正是潜在的黑客活动‘组织者’——他们负责针对特定目标进行社交工程与网络钓鱼活动。”报告指出。

  

而在这些组织者收集到的信息当中,涉及233位隶属于国防部门的个人,其中涵盖了多个北约国家、阿拉伯联合酋长国、阿富汗、泰国以及土耳其。

  

黑客们还将矛头指向了居住在国外的伊朗人士、以色列核科学家、前军方官员、国家安全与外交政策研究者以及委内瑞拉政务人员。

  

  

通过对这台钓鱼服务器的分析,调查员们得以揭示出了Rocket Kitten黑客组织的主要开发者身份,其中一位使用的昵称为“Wool3n.H4T”。

  

“在这种情况下,正如此前其它报告曾经指出,我们可以假设是某位官员召集了当地黑客人士并要求他们进行恶意入侵,包括丑化目标网站以及针对国家机关工作人员进行间谍活动。因为在这类背景当中,召集到的攻击者往往经验不足,而其有限的技术水平主要体现在缺乏安全操作意识方面,这也直接导致了其留下无数痕迹并使我们有机会顺利找到攻击起源及其真实身份,”Check Point在报告当中写道。

本文由 E安全 翻译,转载请注明“转自E安全”

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存