美、俄两国APT组织恰好攻击同一目标

美国黑客和俄罗斯黑客在近期入侵了一家中国航空航天军事企业的服务器，留下了网络间谍工具。这一发现由卡巴斯基实验室的安全研究人员库尔特·鲍姆加特纳揭示。鲍姆加特纳指出，这种情况相对罕见，因为以前从未发现过俄罗斯黑客组织APT28和美国CIA黑客组织Lamberts（又被称为“长角牛”Longhorn）同时攻击同一个系统的情况。

据研究人员发现，黑客使用的工具与Lamberts和APT28有关。Lamberts使用数据嗅探器 passivedatanab器 来收集信息，但目前尚不清楚嗅探到了哪些数据。这些嗅探工具与维基解密泄露的Vault 7文件有关。

APT28在这台服务器上留下了一些已知的模块，包括键盘记录器、文件窃取器和远程访问软件。研究人员认定这些工具属于该黑客组织，因为APT28使用了一种只有他们曾使用过的加密技术。

值得注意的是，目前尚不清楚Lamberts和APT28是否分别入侵了这台中国服务器，或者其中一个黑客组织是否借用了另一方的代码。

APT28主要将目标瞄准在美国和欧洲，尤其是与北约有关的西方目标。然而，最近的研究表明，APT28也开始将注意力转向亚洲，攻击中国大型航空航天军事企业。此外，与其他黑客组织的攻击目标存在重叠，表明这些组织之间存在竞争和合作关系。

在攻击中国航空航天军事企业的过程中，APT28使用了SPLM工具，将Zebrocy工具的攻击重点转移到亚美尼亚、土耳其、哈萨克斯坦、塔吉克斯坦、阿富汗、蒙古、中国和日本。这次攻击表明，APT28可能对中国的军事技术产生兴趣。

在攻击的目标系统上，发现了Lamberts的模块，与Linux Fysbis代码相似。研究人员未在这个系统上发现完整的SPLM后门，这在这样一个独特的系统中是非同寻常的。鉴于此，研究人员提出了几种假设，包括APT28记录了Grey Lambert的远程会话、Grey Lambert插上“假旗”减少SPLM模块，以及SPLM的新变种设法将模块代码注入内存并自行删除。最可能的假设是利用新型Powershell脚本或存在漏洞的合法Web应用程序加载并执行这个不同寻常的SPLM代码。

总体而言，这一发现揭示了黑客组织之间在攻击目标、合作与竞争方面的复杂关系。对于被攻击的中国企业而言，这次入侵可能涉及军事技术和敏感信息的泄露风险。CIA拒绝就这一发现发表评论。

原文始发于微信公众号（紫队安全研究）：美、俄两国APT组织恰好攻击同一目标