追寻APT的来源： 探索具有20年历史的攻击

对Moonlight Maze的最新报告显示，从1996年开始，美国的军事和政府网络以及大学和研究机构，甚至能源部检测到系统被入侵。1998年，FBI和国防部启动了大规模调查。相关调查结果于1999年公布，但是很多证据仍然保密，使得Moonlight Maze的谜团始终未被解开。

多年以来，三个不同国家的初始调查人员都认为Moonlight Maze逐渐演化成为Turla，一个使用俄语的网络犯罪组织，又被成为Snake、Uroburos、Venomous Bear和Krypton。普遍认为，Turla是从2007年开始活跃的。

历史悠久的样本

2016年，在研究一本名为“Rise of the Machines”的书时，伦敦国王学院的Thomas Rid追踪到一名前系统管理员，他所在组织的服务器被Moonlight Maze攻击者所劫持，用作代理服务器。这台“HRTest”服务器被用来对美国实施攻击。这名已经退休的IT员工一直保留着这台原始服务器，并将上面的所有攻击相关数据拷贝下来，交给伦敦国王学院和卡巴斯基实验室进行深入分析。

卡巴斯基实验室的研究院Juan Andres Guerrero-Saade和Costin Raiu同来自伦敦国王学院的Thomas Rid和Danny Moore花费了九个月对这些样本进行了详细的技术分析。他们重构了攻击者的操作、工具和技术，进行了平行调查，试图证明它们同Turla之间的联系。

Moonlight Maze是一种开源的基于Unix的针对Solaris系统的攻击，研究显示，这种攻击会使用基于LOKI2(一种发布于1996年的程序，能够让用户通过隐藏通道获取数据)开发的后门程序。这一发现让研究人员开始再一次关注卡巴斯基实验室在2014年发现的Turla使用的罕见的Linux恶意软件样本。这些恶意软件样本被名为为Penquin Turla，而且同样是基于LOKI2的。进一步的分析显示，这些恶意软件所使用的代码都是创建于1999年至2004年。值得注意的是，这些代码还在攻击中被使用。2011年，这种代码被发现应用于针对瑞士Ruag公司国防承包商的攻击中，二这次攻击被认为是Turla发动的。之后在2017年3月，卡巴斯基实验室研究人员发现一种最新的Penquin Turla后门程序从一台德国的系统被提交。所以，很可能Turla使用这种古来的代码用来对高度安全的机构进行攻击，因为标准的Windows工具无法入侵这些系统。

卡巴斯基实验室全球研究和分析团队高级安全研究员Juan Andres Guerrero-Saade说：“早在90年代，没有人能够预见协同网络间谍攻击行动能够达到如此的规模和程度。我们需要扪心自问，为什么攻击者仍然能够利用古老的代码成功实施现代攻击。对Moonlight Maze样本进行分析，并不光是考古调查，还说明这些资源丰富的对手并没有离开，需要我们采取同样高超的技术来防御系统”。

最新发现的Moonlight Maze文件揭示了很多有趣的细节，让我们了解攻击者是如何使用复杂的网络代理和高超的技术以及工具实施攻击的。更多有关攻击顺序和拓扑图，请参见这里。更多详情，请参见Securelist.com上的相关博文。

卡巴斯基实验室的产品能够成功检测和拦截Moonlight Maze和Penquin Turla使用的恶意软件。有关可以帮助企业查找攻击痕迹的样本日志和脚本以及感染痕迹详情，请参见这里。

卡巴斯基实验室APT情报报告服务客户还可以获取有关最新威胁和攻击组织的高级情报信息，详情请点击这里。