我吃西红柿,欢乐颂小说txt,唐家三少

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

“可汗探索2014”：APT1的復(fù)出?

一、概要

創(chuàng)新互聯(lián)建站網(wǎng)絡(luò)公司擁有十多年的成都網(wǎng)站開發(fā)建設(shè)經(jīng)驗(yàn)，近千家客戶的共同信賴。提供網(wǎng)站建設(shè)、成都網(wǎng)站設(shè)計(jì)、網(wǎng)站開發(fā)、網(wǎng)站定制、買鏈接、建網(wǎng)站、網(wǎng)站搭建、成都響應(yīng)式網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)師打造企業(yè)風(fēng)格，提供周到的售前咨詢和貼心的售后服務(wù)

“威脅互連情報(bào)研究小組”(TCIRT)今日發(fā)現(xiàn)了一份攜帶網(wǎng)絡(luò)武器的微軟WORD文檔，文檔的內(nèi)容是一份有關(guān)美國(guó)-蒙古2014年“可汗探索”聯(lián)合軍事演習(xí)的“概念制定會(huì)議”聲明。回顧以往，TCIRT小組曾發(fā)現(xiàn)過(guò)其他種類的誘餌文件，所用語(yǔ)言均為蒙古語(yǔ)，主題都是圍繞2013年6月的蒙古總統(tǒng)選舉。本次活動(dòng)代表了中國(guó)針對(duì)蒙古以及與蒙古有經(jīng)濟(jì)、軍事和外交往來(lái)的國(guó)家采取的計(jì)算機(jī)網(wǎng)絡(luò)滲透活動(dòng)。蒙古通過(guò)與其所謂的“第三鄰國(guó)”—美國(guó)、如本、韓國(guó)和歐盟—展開接觸，正在走一條更加獨(dú)立的道路，這有可能成為中國(guó)發(fā)起計(jì)算機(jī)網(wǎng)絡(luò)滲透活動(dòng)的原因。這樣一來(lái)，中國(guó)就能清楚了解蒙古與美國(guó)和其它西方國(guó)家之間關(guān)系的演變，并且能夠保護(hù)中國(guó)自身在蒙古的國(guó)家利益。

二、分析2014“可汗探索”軍事演習(xí)的“概念制定會(huì)議”聲明文件

TCIRT發(fā)現(xiàn)的這份攜帶網(wǎng)絡(luò)武器的微軟WORD文檔來(lái)自美太總部的一份官方非密文檔，文檔指出“概念制定會(huì)議中涉及的美國(guó)陸軍、海軍陸戰(zhàn)隊(duì)以及國(guó)務(wù)院相關(guān)部門將參加2014可汗探索軍事演習(xí)”。這份名為“概念制定會(huì)議聲明信息-2014可汗探索軍演草案文件”利用CVE-2012-0158 漏洞在計(jì)算機(jī)系統(tǒng)中植入惡意程序，然后通過(guò)peaceful.linkpc.net, mongolia.regionfocus.com以及mseupdate.strangled.net三個(gè)域名連接其指揮和控制系統(tǒng)。

同樣的，一份名為“越南緹瑟郡學(xué)術(shù)更新”的doc文檔中，黑客利用 CVE-2012-0158 漏洞發(fā)起了類似攻擊，域名指向跟“可汗探索”中三個(gè)域名相同。這份文件內(nèi)容涉及蒙古國(guó)防部與越南軍隊(duì)聯(lián)合訓(xùn)練的聲明。這就說(shuō)明蒙古國(guó)防部負(fù)責(zé)計(jì)劃和演習(xí)的部門正在遭受一系列范圍很廣的網(wǎng)絡(luò)攻擊。一旦成功安裝在主機(jī)之后，木馬會(huì)向外界 /2011/n325423.shtml發(fā)送GET請(qǐng)求：

木馬程序還包含指揮和控制系統(tǒng)的固定編碼字符串：

三、結(jié)構(gòu)的復(fù)雜：

以下研究發(fā)現(xiàn)了其它指揮和控制域。TCIRT發(fā)現(xiàn)上述三個(gè)域名重復(fù)指向許多地址。2013年10月初，所有域名指向香港IP：113.10.205.236.

回顧2011年10月7日至2012年10月7日域名解析情況，可以確定這些黑客一直都在使用一些常用的Ip地址，例如58.64.200.105以及58.64.200.106。

四、與中國(guó)的聯(lián)系：

TCIRT分析認(rèn)為任何與這些惡意域名有關(guān)的注冊(cè)信息和私人信息都應(yīng)該與黑客活動(dòng)有關(guān)。以下電子郵件地址就是用來(lái)注冊(cè)這些域名的。

針對(duì)這些電子郵件的研究發(fā)現(xiàn)，[email protected] 出現(xiàn)在一份2008年的論文之中，該論文名為“網(wǎng)絡(luò)中P2P文件污染防治策略研究”。郵箱主人正是論文作者“云燕”，1979年生，曾在大連理工大學(xué)計(jì)算機(jī)系上學(xué)。

五、與APT1的聯(lián)系

2013年10月5日，TCIRT發(fā)現(xiàn)另一個(gè)惡意軟件樣本同樣利用了相同的GET請(qǐng)求“/2011/n325423.shtml”，并連接至mongolia.regionfocus.com。研究人員發(fā)現(xiàn)，APT1曾經(jīng)在數(shù)據(jù)組中使用過(guò)GET請(qǐng)求“/2011/n325423.shtml”?；仡欀皩?duì)APT1的分析，APT1之前也曾將指揮和控制系統(tǒng)指向IP地址68.96.31.136。

研究人員發(fā)現(xiàn)自2010年9月18日以來(lái)到2013年2月，APT1很多域名都指向過(guò)68.96.31.136這個(gè)地址。直到APT1報(bào)告出現(xiàn)之后，這些惡意指向才逐漸消失。

六、總結(jié)：

中國(guó)此次黑客活動(dòng)的意圖可以歸納為三點(diǎn)：

1.中國(guó)不能眼睜睜看著美國(guó)通過(guò)“可汗探索”等軍事演習(xí)對(duì)自己形成具有武力威懾的“包圍圈”。

2.隨著蒙古與“第三鄰國(guó)”逐漸建立密切的關(guān)系，中國(guó)需要保證在蒙利益。

3.中國(guó)在蒙古的投資巨大，中國(guó)依賴蒙古巨大的銅礦，中國(guó)需要保證與蒙古之間的合作伙伴關(guān)系。

這次黑客活動(dòng)代表了中國(guó)針對(duì)有可能危害中國(guó)在蒙利益的組織發(fā)起的計(jì)算機(jī)網(wǎng)絡(luò)滲透活動(dòng)。正如這些包含網(wǎng)絡(luò)武器的文檔證明，中國(guó)APT仍在攻擊與蒙古軍方有合作關(guān)系的美國(guó)軍隊(duì)。同樣的，歐洲和其它國(guó)家與蒙古的外交活動(dòng)也將成為攻擊的對(duì)象。英文原文來(lái)源(略有編譯)：http://www.threatconnect.com/news/khaan-quest-chinese-cyber-espionage-targeting-mongolia/

網(wǎng)頁(yè)題目：“可汗探索2014”：APT1的復(fù)出?
網(wǎng)站URL：http://m.fisionsoft.com.cn/article/copjdjc.html

新聞中心

其他資訊