俄羅斯黑客組織DNC使用NSA攻擊代碼攻擊酒店網路

圖片來源於網路

研究人員周五表示，俄羅斯政府主辦的一個組織去年被指控劫持民主黨全國委員會，可能已經感染了其他目標。發送到多家酒店的部分被誘餌捕獲的Microsoft Word文檔。一旦感染，計算機將試圖破壞連接到同一網路的其他計算機。

圖片來源於網路

NSA泄露的影子經紀人剛剛傾銷了其最具破壞性的版本，永恆藍色，作為漏洞利用是代號，是過去一年由神秘的團體稱之為暗影經紀人發布的高級NSA攻擊之一。它在4月份發布在該組織迄今為止最具破壞性的版本中。在沒有任何用戶操作的情況下，從計算機傳播到計算機的能力是在5月份全球關閉全球計算機的WCry ransomware蠕蟲的引擎。永恆藍也在NotPetya的傳播中發揮了作用，這是一種後續蠕蟲，導致了6月份的重大幹擾。

現在，安全公司FireEye的研究人員表示，他們對俄羅斯的黑客團體「Fancy Bear」，APT 28等人充滿懷疑，其他名字也使用了「永恆之藍」，這次是針對與Wi Wi -Fi網路。7月份，公司的研究人員Lindsay Smith和Ben Read在一篇博文中寫道：「這個攻擊開始使用永恆藍從計算機傳播到電腦裡面。雖然研究人員沒有直接觀察到用於感染連接到網路的訪客計算機的攻擊，但他們表示，去年的一項相關活動是通過酒店Wi-Fi服務的控制來獲取訪客設備的登錄憑據。

圖片來源於網路

在早期的攻擊中，APT28成員使用了一個名為Responder的黑客工具來監控和偽造通過受感染網路傳遞的NetBIOS通信。

FireEye研究人員寫道：「響應者化裝舞台是尋找資源，導致受害者計算機發送用戶名並將密碼散布到攻擊者控制的機器上。「APT 28使用這種技術竊取用戶名，並散布了允許受害網路中特權升級的密碼。」 研究人員繼續說：

在2016年的事件中，受害者在連接到酒店的Wi-Fi網路后遭到妥協。受害者最初連接到公共Wi-Fi網路十二個小時后，APT28登入機器，盜用身份證件。這12個小時可能已經用於破解散列密碼離線。成功訪問機器后，攻擊者在機器上部署了工具，橫向通過受害者的網路進行訪問，並訪問受害者的OWA帳戶。登錄源自同一子網上的計算機，表示攻擊者身體靠近受害者並在同一個Wi-Fi網路上。

圖片來源於網路

我們無法確認2016年事件中最初的憑證如何被盜; 然而，在入侵后，Responder被部署。由於該工具允許攻擊者從網路流量中嗅探密碼，因此可能已經在酒店的Wi-Fi網路上使用這些密碼來獲取用戶的憑據。

FireEyes研究人員在一封電子郵件中說，7月份的攻擊使用了使用Python編程語言創建的修改版本的Eternal Blue，之後公開提供。然後，Python實現使用公開的py2exe工具將其編譯成可執行文件。

當心酒店無線網路，「DarkHotel」使用虛假加密證書來圈套Wi-Fi連接。

圖片來源於網路

在過去幾年裡，酒店的Wi-Fi已成為高級黑客針對連接感興趣的用戶的常用工具。2014年，安全公司卡巴斯基實驗室的研究人員表示，一家被稱為黑暗酒店（Dark Hotel）的團體已經感染了酒店網路至少七年。在一年後的另一份報告中，卡巴斯基實驗室的研究人員發現了一些證據，表明一個單獨的黑客組織與Stuxnet蠕蟲病毒感染酒店會議室的創建者有聯繫，試圖監測與伊朗舉行的美國和其他五個國家的高層外交談判超過其核計劃。

斯派森的Stuxnet跟卡巴斯基談了好幾個月，敲打了伊朗核問題、

花式熊是去年被指控入侵DNC伺服器的兩個俄羅斯政府黑客團體之一。根據安全公司CrowdStrike的說法，Fancy Bear在2016年4月份違反了DNC的防禦措施。屆時，一個名為「舒適熊」的俄羅斯獨立政府組織已經在DNC網路內至少八個月。俄羅斯方面沒有參與這些黑客行為，但是美國情報機構幾乎一致同意俄羅斯政府最高層領導人批准的違反DNC的行為。

圖片來源於網路

FireEye說，花式熊使用矛釣魚活動，將一種誘餌捕獲的Microsoft Word文檔分發給幾個未命名的酒店。當文檔在允許Word宏執行的計算機上打開時，機器被稱為Gamefish的Fancy Bear惡意軟體感染。一旦計算機被感染，它會嘗試感染連接到同一Wi-Fi網路的其他計算機。

擔心影子經紀人泄漏，NSA報告了微軟的關鍵缺陷

還不清楚「永恆之劍」在七月份的運動中取得的成功。屆時，微軟公布了Windows Update修補 NSA攻擊的關鍵漏洞已經四個月了。5月份WCRY造成的相當大的損失促使許多人堅持最終安裝修復。然而，可以想象的是，黑客組認為的密鑰的一些計算機尚未修補伺服器消息塊協議的Windows實現中的潛在缺陷。在這種情況下，添加的永恆藍色利用可能已被證明對黑客是無價的。

本文由科技大偵探 原創 轉載請註明出處