检查公司的专家发表了一篇关于Rocket Kitten APT的报告,该报告包括对于这个组织的更多见解。
你还记得Rocket Kitten ATP吗?
人们怀疑Rocket Kitten小组从2011年开始活动,并且在2014年扩大了他们的活动范围。他们主要的攻击目标以中东地区为主,并且他们的目标与政治研究、外交事务和国际性政治外交事务有关。
一些安全公司已经分析了Rocket Kitten完成的操作,专家们利用不同姓名调查黑客成员。火眼公司联系这个组织从事名为“红玫瑰计划”的网络间谍活动, iSIGHT协会的专家发现这个组织利用虚假的网络账户在一些主流媒体 NEWSCASTER 网络上监视美国的行政官员和全世界的政府人员。ClearSky的专家们还发现Thamar Reservoir活动攻击中东的实体目标,同时,Trend Micro的研究者发现了一个新的黑客活动,这个活动被称为“毛金鱼活动”,而且似乎是由Rocket Kitten组织的一个恐怖成员控制的。
尽管众多安全公司都在调查它,Rocket Kitten组织依然十分活跃继续进行他们的间谍活动,而且他们每次黑客活动都使用用不同的工具。
多亏了Check Point安全公司发表的文章 Rocket Kitten 的黑客才能出现在头条。Check Point 公司在调查一起网络仿冒攻击事件的时候发现了由Rocket Kitten组织使用的服务器。
据文章“Rocket Kitten是一个有九条命的组织”中提到,黑客利用公共的XAMPP 网络服务器,这个服务器配置很低,甚至允许调查者不需要认证就能获取根权限。
Check Point的专家发现,超过1800个受害者已经被Rocket Kitten成功攻击,他们的信息被储存在服务器上的临时数据库中。
网络仿冒服务器的日志分析显示大多数访问者来自于沙特阿拉伯(18%),美国(17%),伊朗(16%),荷兰(8%)和以色列(5%)。
报告称“这个清单经过分析显示了一个民族国家政治利益与以反抗著称和对伊朗有情报价值而被公认为特定受害者的结盟。
接近26%的访问者提供了他们的证书,这是很让人费解的。
每一个受害者都与一个特定的Rocket Kitten操作者有联系,在一个案例中,一个操作员就能截获接近700个受害者的详细资料,另外一个操作者在一次攻击中钓到了522个用户,其中包括人权运动参与者、公司高管和沙特阿拉伯的政府官员。
文章称“看看这些用户的名字,我们能发现一些波斯名字或者是化名,例如merah, kaveh, ahzab 和amirhosein。这些都是潜伏的运动操作者他们负责社会工程和剪裁每一个目标钓鱼页面。”
三分之一的操作者搜集来自于233个在国防组织部门工作的个体的信息,这些人来自包括北约的一些国家,还有阿联酋、阿富汗、泰国和土耳其。
黑客还攻击伊朗的侨民,以色列的核专家,前军方官员、国家安全和外国政治研究员还有委内瑞拉的民众。
关于网络仿冒服务区的分析使调查员揭开了黑客成员的主要人物,一个昵称叫“Wool3n.H4T.”的人。
Check Point在报告中说“在这个和其他以前报道过的案例中,我们可以假设政府机构招募了当地的黑客,并且让他们从攻击网站转为为他们的国家服务从事间谍活动,像这样的活动往往是这样的没有经验的人员来做,他们缺乏操作安全意识是缺乏训练的表现,而且留下了很多关于攻击源和他们真实身份的证据
如果你想对这个调查有更深入夫人了解,请浏览由Check Point发表的文章“Rocket Kitten:一个有九条命的组织”。
文章原文链接:https://www.anquanke.com/post/id/82907