總部位於美國加州舊金山的網絡安全公司Lookout於近日發文稱,該公司旗下安全研究人員發現了一場與敘利亞黑客組織“敘利亞電子軍(Syrian Electronic Army)”存在關聯的網絡監視活動。
文章指出,這場監視活動可能開始於2018年1月,針對的是講阿拉伯語的移動設備用戶,涵蓋敘利亞本國以及周邊地區。在近期的行動中,該組織開始以“新型冠狀病毒”作為誘餌,旨在誘使受害者下載惡意APP。
最新惡意APP樣本
最新惡意APP偽裝成是一個數字溫度計,只需將手指按在屏幕上顯示的指紋上方,就能測出實時體溫。
圖1.最新惡意APP樣本截圖
事實上,APP包含一種名為“AndoServer”的惡意軟件,通過從C2服務器接收的命令,它能夠執行以下行為:
截屏獲取電池電量信息以及檢測USB是否已插入報告位置(緯度和經度)獲取已安裝的APP列表啟動攻擊者指定的APP檢查設備上的攝像頭數量選擇要訪問的特定攝像頭創建特定的彈出消息(toast)錄音在外部存儲上創建文件提取通話記錄列出指定目錄中包含的文件撥打電話提取短信發送短信到指定電話號碼提取聯繫人列表同一C2服務器連接到71個惡意APP
進一步調查發現,同一C2服務器連接到71個惡意APP,其中有64個包含商業化的間諜軟件SpyNote,其他還有SandroRat、AndoServer和SLRat。
圖2.惡意APP示例
研究人員表示,所有這些APP均未出現在類似Google Play這樣的官方應用商店中,這表明它們可能是通過被黑的網站或第三方應用商店分發的。
為什麼說這些APP出自敘利亞電子軍之手?
研究人員解釋說,並非所有在這場監控活動中使用的惡意APP都被清除了敏感信息。例如,有很大一部分SpyNote樣本都將C2信息、版本號以及其他信息存儲在了“res/values/strings.xml中”。
在這些APP的strings.xml文件中,有22個都引用了“Allosh”,而這個名稱此前就曾被敘利亞電子軍使用過。例如,“c:\\\\users\\allosh hacker\\documents\\visual studio 2012\\Projects\\allosh\\allosh\\obj\\Debug\\Windows.pdb”和“c:\\Users\\Allosh Hacker\\Desktop\\Application\\obj\\Debug\\Clean Application.pdb”
圖3.strings.xml文件截圖
敘利亞電子軍是何來歷?
據稱,敘利亞電子軍成立於2011年5月,主要任務就是攻擊敘利亞政府的“敵人”。
圖4.百度百科關於“敘利亞電子軍”的介紹
在2013年10月,敘利亞電子軍就曾聲稱黑掉了前任美國總統奧巴馬的個人網站,以及Twitter、Facebook賬號和電子郵箱。
在當時,點擊被黑網站會跳轉到SEA的一個網站,上面寫著“Hacked by SEA”。
圖5.跳轉頁面
而點擊Twitter和Facebook上面發佈的幾條鏈接,全都會被重定向到一個顯示敘利亞真實現狀的視頻。
圖6.重定向鏈接
從當時該組織分享的截圖來看,他們還登陸了奧巴馬的Gmail:
圖7.Gmail截圖
在2014年3月,敘利亞電子軍還聲稱入侵了美軍中央指揮部,並公佈了包含2萬多文件的軍方在線知識庫(Army Knowledge Online,AKO)服務器的文件目錄。
圖8.文件目錄
在同年的感恩節當天,敘利亞電子軍更是入侵了美國各大熱門媒體網站,並在網站的頁面上掛出一個窗口,上面寫著“你已經被SEA黑了”。
圖9.感恩節“特製”窗口
敘利亞電子軍最近也一直非常活躍,他們的一個Twitter帳戶分別於本月2日和7日聲稱對比利時媒體DDoS攻擊事件以及PayPal和eBay網站入侵事件負責。
圖10.@Official_SEA7最近發佈的兩項聲明