技术实力强悍
灵活机动
有组织
足够的智慧
极具耐心 足够的证据显示,“隐秘山猫”很早的接触0day漏洞,并且具有猎人般极强的耐心去攻破目标。他们的攻击任务链一般是感染计算机、完全获得控制权并等待“被控计算机”回连,这些攻击任务都是经过精密计算而非业余黑客的冲动之举。 “隐秘山猫”黑客团队并不仅仅限制在为数不多的目标,而是不同地区数百个不同的目标,任务甚至并发。鉴于广度和数量以及有关的区域,我们推断这个集团是最有可能是一个职业的雇佣黑客团体。 “隐秘山猫”人员组成预计在50到100之间,分为两个以上的组,他们训练有素,使用不同的技术和工具。由于这些攻击需要时间和努力,他们在攻击前会需要一定的研究。他们使用称为Moudoor和Naid 的木马后门程序,这些后门程序可以逃避安全软件的检测和捕获,因此不会被公司安全人员发现。 赛门铁克称,自2011年以来,他们已经发现六个以上的案例与“隐秘山猫”有关,其中最有名的是2012年6月的VOHO攻击。有意思的是,在此事件中,“隐秘山猫”使用“水坑攻击”技术,而此种攻击样本已在BIT9(美国一家企业终端安全软件公司)的签名库中,因此“隐秘山猫”的攻击遇到了障碍。
所谓“水坑攻击”,是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。这种攻击行为类似《动物世界》纪录片中的一种情节:捕食者埋伏在水里或者水坑周围,等其他动物前来喝水时发起攻击猎取食物。但是“隐秘山猫”很快改变战术,将攻击方向转向BIT9的服务器,他们通过渗透,向BIT9系统的签名库系统植入多个恶意木马,最终辗转至真正的目标。 赛门铁克发表了详细的报告,感兴趣的FreeBufer可以看看。 2 这份长达28页的报告称,研究人员认为“隐秘山猫”可能参与了2009年的极光行动(Operation Aurora)攻击,那是迄今为止针对美国公司最著名的一起网络间谍活动。在极光行动中,黑客们攻击了谷歌、Adobe系统等数十家公司。 赛门铁克的研究人员表示,无法确定背后隐藏的具体黑客是谁,也无法确认是否与中国政府有关。美国电脑安全公司Mandiant在今年2月公布的另一份报告则称,中国军方有一个秘密单位对美国公司实施了网络间谍活动。但北京严厉驳斥了该指控。 赛门铁克认为,该团体位于中国,因为用于攻击的多数基础设施都位于中国,而恶意软件的编写也使用了中文工具和中文代码。
原文来自赛门铁克