英国国家网络安全中心(National CyberSecurity Centre,NCSC)与美国国安局(National Security Agency,NSA)在本周出版一联合报告,指出俄罗斯黑客集团Turla盗用伊朗黑客集团OilRig(APT34)的攻击工具,还入侵OilRig的攻击架构与命令暨控制(C&C)服务器,并对全球超过35个国家展开攻击,且他们相信OilRig浑然不知自己被黑了。
根据该报告,Turla在2017年底就盗用了OilRig所开发的Neuron与Nautilus工具,以及基于ASPX的后门程序,再佐以自己的Snake Rootkit发动网络攻击,该俄罗斯黑客集团的攻击行动主要在于间谍行为。
Turla先在已被Snake危害的系统上部署来自OilRig的工具,之后再于全球扫描被ASPX后门程序攻陷的系统,再利用这个缺口部署Neuron与Nautilus,估计至少有来自35个国家的各式系统已被植入ASPX。这意味着有许多先被OilRig攻陷的系统,随后也引来了Turla。它们涵盖政府、军事、科技、能源与商业组织,而Turla的目的则是在窃取这些组织的知识产权。
此外,Turla也入侵了OilRig的攻击架构,盗走OilRig的数据、键盘纪录、受害者名单、工具,以及访问其架构的凭证,甚至直接从OilRig的C&C服务器发动攻击。
由于NCSC与NSA并未公布或者是尚未识别Turla上述行为的时间点,所以并不确定其先后顺序。