研究人员发现了一项针对全球研究和教育部门长达十年的间谍活动
安全公司历来专注于与 Windows 系统相关的间谍事件。这导致他们忽视了 Linux 平台上的类似威胁,尽管针对 Linux 服务器的攻击日益增多。
由于科学研究、技术和教育等领域的宝贵数据通常托管在 Linux 系统上,因此加强安全措施来保护这些数据正成为迫切的需求。
奇安信威胁情报中心的研究人员一直在监控未知威胁组织在名为“Operation Veles”的活动中对 Linux 服务器发起的攻击。研究人员表示,其中 UTG-Q-008 和 UTG-Q-009 等组织已造成重大损失。
威胁组织成功攻击 Linux 系统
UTG-Q-008 专门针对 Linux 系统,使用庞大的僵尸网络对研究和教育部门进行间谍活动。该组织表现出非凡的实力和耐力,其域名活跃时间超过十年,攻击方法也十分复杂。
UTG-Q-008攻击目标包括超过5000个网段,总计超过1700万个IP地址,主要来自CN CER(中国教育和科研)网络,并重点关注中国和美国的先进生物遗传学和RNA免疫治疗研究。
UTG-Q-008 拥有丰富的网络资源,每次行动都会使用新服务器,在午夜开始的四小时内发动攻击。这些攻击涉及短暂的 shell,使传统的攻击指标失效。
该组织使用分布式 SYN 扫描来识别开放端口,并在最低限度的检测下,尝试暴力破解各种服务器(包括研究服务器)的根密码。
许多组织已不再使用位于网络边界的 Linux 服务器上的默认 SSH 端口。因此,UTG-Q-008 的初始行动涉及利用僵尸网络的广泛网络功能来执行分布式 SYN 扫描。研究人员进一步详细说明,他们测量了每个 IP 地址的 SYN 扫描频率,估计平均每秒 25-35 次扫描。
Linux 服务器域中出现僵尸网络
僵尸网络资源集中在中国和美国,包括网络服务器、监控系统以及类似Perlbot、Mirai的僵尸网络节点,用于侦察、暴力破解、漏洞利用和木马投递。
研究人员表示,僵尸网络参与间谍活动并不罕见,但其参与程度至关重要。例如,2024 年,Moobot 僵尸网络向 APT28 提供网络代理,用于发送鱼叉式网络钓鱼电子邮件。2019 年,Lazarus 利用 TrickBot 僵尸网络分发专用恶意软件进行攻击活动。
然而,基于对UTG-Q-008长达一年的分析,研究人员认为,根据该威胁组织的技术能力,其背后的僵尸网络直接参与了间谍活动。
Linux 威胁组织取得“令人印象深刻的成果”
在长期的参与中,研究人员首次观察到有针对性的攻击,其中直接涉及僵尸网络以进行间谍活动。受影响实体的规模和质量令人印象深刻。研究人员表示,在之前的 APT 案例中,如果没有一些 0-day漏洞,就不可能在 Linux 服务器域中取得如此“令人印象深刻的结果”。
UTG-Q-008 的工具以 tar 格式存储在跳板服务器上,主要有效载荷是 Nanobot,类似于 Perlbot。该组织使用内部网络扫描仪和横向移动工具来入侵内部网络内的服务器。
UTG-Q-008 部署间谍插件来收集敏感数据,并在受感染的服务器上安装“ xmrig ”加密货币挖掘程序,以在获得初始访问权限后隐藏其活动。该组织主要在标准工作时间活动,但也被发现参与可能位于东欧的深夜活动。
虽然 UTG-Q-006 的目标是 Windows 设备,但其在操作和共享活动上与 UTG-Q-008 有一些重叠,但这两个组织之间的具体关系尚不清楚。
UTG-Q-008 作为一种针对 Linux 系统的复杂威胁的出现,表明了加强安全措施以保护关键研发部门免受间谍活动侵害的重要性。加强对此类威胁的防御对于保障国家技术进步至关重要。
原文始发于微信公众号(河南等级保护测评):Linux 系统上的间谍威胁日益严重,不容忽视
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论