全球独家披露：中亚上空的情报刺客“黄金雕”APT组织

故明君贤将，所以动而胜人，成功出于众者，先知也。——《孙子兵法》

【导语】近日，360威胁情报中心全球独家捕获了一起一直活跃在中亚地区，从未被外界知晓的APT组织，并将其命名为黄金雕（APT-C-34）。透过层层研究分析，我们发现这个有着哈萨克斯坦背景的组织，不仅向臭名昭著的军火商Hacking Team采购“武器”，更为重要的是它还自主研发“网络军火”。中亚内陆国家尚且能够投入大量人力、物力、财力，聚焦网络情报收集，将网络战上升到首要高度，足见在网络空间第五维世界里，任何一个国家都在努力构建网络攻防军事强国，而掌握关键性“军火武器”也成为其重要途径。

在披露今天的主角APT组织黄金雕（APT-C-34）前，我们先介绍下对主角的发现，起着决定性作用的网络军火商公司——Hacking Team。

知名网络军火商反被“Hacked”，数万吨“武器炸药”被随意领取

Hacking Team是一家向全世界出售商业网络武器的公司。它专注于开发网络监听软件，涵盖几乎所有桌面计算机和智能手机。除提供监听程序外，Hacking Team还提供能够协助偷偷安装监听程序的未公开漏洞（0day），无国界记者组织曾将“HT”列为“网络敌人索引”。它的客户不仅涵盖各国的执法机构，甚至包括了联合国武器禁运清单上的国家。

然而，就在2015年7月5日，这家早已“闻名于世”的军火商因被“Hacked”再次轰动全球。

400GB文件被泄密，已经工程化的漏洞和后门代码一时间全部公开，包括Flash、Windows字体、IE、Chrome、Word、PPT、Excel、Android等诸多未公开0day漏洞，覆盖大部分的桌面电脑和超过一半的智能手机。

可以说，这次泄露不亚于将数万吨TNT“军火炸药”的导火线公之于众，国家乃至世界都处于一个随时可能被“引爆”的处境中。

历经此事，Hacking Team公司也被迫宣布破产被并购。但这并不是故事结局，或者可以说是事件的开端。

2018乌俄大战，“HT军火”再现世，360全球首家披露黄金雕（APT-C-34）组织

历经一段时间的沉寂，很快Hacking Team因2018年11月乌俄两国突发的“刻赤海峡”事件而重回大众视野。

在此危机中，360高级威胁应对团队率先发现了一起针对俄罗斯总统办公室所属的医疗机构的APT攻击行动。更为重要的是，这起被命名为“毒针”的APT行动使用了Flash 0day漏洞CVE-2018-15982 ，而其后门程序正是出自Hacking Team。

不难推断，Hacking Team的生意并没有消失，“毒针”行动背后的APT组织仍在采购商业网络武器。而这，也启发了网络安全专家的持续追踪。

惊喜的是，就在对Hacking Team网络武器的深入溯源中，一支活跃在中亚地区，未被披露过的俄语系APT组织也“浮出水面”。由于这是360全球首次发现披露，该团队参照中亚地区擅长驯养猎鹰狩猎的习俗特性，将该组织命名为黄金雕（APT-C-34）。

网络武器的应用早已不分国界与大小，APT组织黄金雕幕后“金主”竟是该国？

似乎以往我们所熟知的APT组织多隶属于美国、俄罗斯、以色列这样的网络大国、网络强国，然而在此次APT归属分析中，我们发现它竟隶属于“名不见经传”的国家——哈萨克斯坦。

足见，网络武器的应用早已不分国界与大小，任何一个国家都在努力通过掌握关键性“军火武器”这一途径，构建网络攻防军事强国。

01.对该组织基础设施布局及受害者分析：

报告显示：黄金雕（APT-C-34）组织的基础设施和绝大部分的受害者均集中在哈萨克斯坦国境内，涉及各行各业，包括哈国境内：教育行业、政府机关人员、科研人员、媒体工作人员、部分商务工业、军方人员、宗教人员、政府异见人士和外交人员等。其中也波及到了我国驻哈萨克斯坦境内的机构和人员。

02.对该组织主要攻击方式分析：

而在攻击方式上：黄金雕（APT-C-34）组织除了常规的社会工程学攻击手段，也喜欢使用物理接触的手段进行攻击，同时还采购了无线电硬件攻击设备。

a.社会工程学攻击方式：

该组织制作了大量的伪装的文档和图片文件作为鱼叉攻击的诱饵，这些文件通过伪装图标诱导用户点击，这些文件实际上是EXE和SRC后缀的可执行文件，同时会释放弹出真正的文档和图片欺骗受害者。

有意思的是，诱饵文档的内容五花八门，有华为路由器的说明书、伪造的简历和三星手机说明书等。

此外，其中部分诱饵程序安装包脚本会自动将程序添加到注册表项中，实现自启动驻留。

b.物理接触攻击方式

U盘一直是攻击者很喜欢的攻击载体。黄金雕（APT-C-34）组织也不例外。报告显示：部分受害者曾经接入过包含恶意程序和安装脚本的U盘。如下图所示，其中以install开头的bat文件为恶意程序安装脚本。

同时，攻击者也使用了Hacking Team的物理攻击套件，该套件需要通过恶意硬件物理接触目标机器，在系统引导启动前根据系统类型植入恶意程序，支持Win、Mac和Linux平台。

c.无线电监听攻击方式

除以上攻击方式外，黄金雕（APT-C-34）组织还采购了一家俄罗斯公司“YURION”的硬件设备产品（该公司是一家安全防务公司，专门出售无线电监听、窃听等设备）。有证据显示：该组织很有可能使用“YURION”公司的一些特殊硬件设备直接对目标的通讯等信号进行截取监听。

03.对该组织核心后门程序技术说明文档分析：

通过对该组织核心后门程序Harpoon的技术说明文档分析看，该工具被命名为Гарпун（Harpoon），中文实际含义是鱼叉，后门的版本号为5.0。该文档的内容大量引用标注了哈萨克斯坦城市名和哈萨克斯坦政府机构名，显示该后门程序疑似是由哈萨克斯坦的政府机构支持开发。

然而，其实早在2015年，Hacking Team被攻击泄露数据后，哈萨克斯坦的国家情报机关就被证实采购了Hacking Team的软件。在这份报告中，展示了哈萨克斯坦曾与Hacking Team官方来往邮件，以寻求网络武器的技术支持。

这里有个非常有意思的点，讲的是：在疑似针对中国的攻击中，其涉及的后门程序因360的查杀导致目标不上线的案例。

为收集网络情报，哈萨克斯坦煞费苦心，不止向网络军火商采购武器，还自主研发

《孙子兵法》有云：故明君贤将，所以动而胜人，成功出于众者，先知也。开宗明义地指明，“先知”是“动而胜人”的先决条件，指出“情报”在战争中发挥着举足轻重的作用，甚至是对战役的胜负有着决定性作用。可谓，知己知彼，方能百战不殆。

传统战争如此，网络战亦然。网络情报的收集获取同样是赢得网络战胜利的重要先决条件。而在此报告中，我们发现，为收集重要网络情报，哈萨克斯坦可是“煞费苦心”，它不仅向网络军火商Hacking Team采购网络武器，同时还自主研发，已达其目的。

01.多渠道采购网络军火武器

采购网络军火商Hacking Team的商业后门。该组织购买了Hacking Team的远程控制软件Remote Control System（RCS），并有完整的控制端软件。

值得注意的是，这里的版本号均为10以上，而Hacking Team在2015年泄露的RCS版本号为9.6。在这里，我们有个大胆的推测：黄金雕组织与Hacking Team的“军火贸易”或许一直都在，或者黄金雕组织已在原有“武器”上进行了“二次加工”，对“武器”进行了“全新升级”。

同时，不止于采购Hacking Team的网络武器，该组织也是著名的移动手机网络军火商 NSO Group的客户。

在黄金雕（APT-C-34）的基础设施中，显示含有NSO最出名的网络武器pegasus的培训文档，其中还包括与NSO相关的合同信息，采购时间疑似在2018年。依靠pegasus网络武器，黄金雕（APT-C-34）组织应该具备针对iPhone、Android等移动设备使用0day漏洞的高级入侵能力。

02.自主研发网络军火武器

更为需要引起注意的是，就是哈萨克斯坦这样一国家，它却早已有了自主研发网络军火武器的意识与能力，甚至可以说其能力不容小觑。

Haroon便是黄金雕（APT-C-34）组织自主研发的一款针对特定用户的后门程序，使用Delphi实现。通过对该后门的说明手册分析，发现该后门具备强大的信息收集功能，包括：屏幕定时截图、录音、剪切板记录、键盘记录、特定后缀名文件偷取等功能。

不单采购了大量网络军火武器还有实力自主研发，黄金雕（APT-C-34）组织的背后实体机构——哈萨克斯坦，正不惜投入了大量的人力、物力和财力在支持其运作。中亚内陆国家尚且拥有足够意识重视网络情报收集，将网络战上升到首要高度，足见在网络空间第五维世界里，任何一个国家都在努力构建网络攻防军事强国。

同时，我们还应看到：以漏洞为主的网络武器日益受到各国重视，某些国家政府与网络武器军火商交易的脚步从未停歇，网络军火交易正进行地如火如荼，全球面临着前所未有巨大安全威胁与挑战。

面对如此紧张的局势里，在这个没有网络安全就没有国家安全的大背景下，我们又该如何自处呢？

写在最后：

关于哈萨克斯坦：其在民族问题上存在很大隐患。哈萨克斯坦国内目前有125个民族，其中主体民族哈萨克族占64.6%，俄罗斯族占到了22.3%，哈萨克族多信仰伊斯兰教（逊尼派），俄罗斯族多信仰东正教。一旦处理不好与美、俄的关系，哈萨克斯坦很有可能面临乌克兰式的命运。所以，通过网络武器等方式获取对该国有用的价值情报，对于该国的政治稳定而言，具有重要的军事战略意义。

全球首次发现黄金雕（APT-C-34）的360威胁情报中心及协助分析的360烽火实验室

关于360高级威胁应对团队(360 ATA Team)：专注于APT攻击、0day漏洞等高级威胁攻击的应急响应团队，团队主要技术领域包括高级威胁沙盒、0day漏洞探针技术和基于大数据的高级威胁攻击追踪溯源。在全球范围内率先发现捕获了包括双杀、噩梦公式、毒针等在内的数十个在野0day漏洞攻击，独家披露了多个针对中国的APT组织的高级行动，团队多人上榜微软TOP100白帽黑客榜，树立了360在威胁情报、0day漏洞发现、防御和处置领域的核心竞争力。

关于360烽火实验室：致力于Android病毒分析、移动黑产研究、移动威胁预警以及Android漏洞挖掘等移动安全领域及Android安全生态的深度研究。作为全球顶级移动安全生态研究实验室，360烽火实验室在全球范围内首发了多篇具备国际影响力的Android木马分析报告和Android木马黑色产业链研究报告。实验室在为360手机卫士、360手机急救箱、360手机助手等提供核心安全数据和顽固木马清除解决方案的同时，也为上百家国内外厂商、应用商店等合作伙伴提供了移动应用安全检测服务，全方位守护移动安全。

更多资料详情：

此外，更多《盘旋在中亚地区的飞影-黄金雕（APT-C-34）组织攻击活动揭露》报告详情请查阅。http://zt.360.cn/1101061855.php?dtid=1101062514&did=210975667

本文为国际安全智库作品 （微信公众号：guoji-anquanzhiku）

如需转载，请标注文章来源于：国际安全智库