總部位於美國加州舊金山的網絡安全公司Lookout於近日發文稱,該公司旗下安全研究人員發現了一場與敘利亞黑客組織「敘利亞電子軍(Syrian Electronic Army)」存在關聯的網絡監視活動。
文章指出,這場監視活動可能開始於2018年1月,針對的是講阿拉伯語的移動設備用戶,涵蓋敘利亞本國以及周邊地區。在近期的行動中,該組織開始以「新型冠狀病毒」作為誘餌,旨在誘使受害者下載惡意APP。
最新惡意APP樣本
最新惡意APP偽裝成是一個數字溫度計,只需將手指按在螢幕上顯示的指紋上方,就能測出實時體溫。
事實上,APP包含一種名為「AndoServer」的惡意軟體,通過從C2伺服器接收的命令,它能夠執行以下行為:
- 截屏
- 獲取電池電量信息以及檢測USB是否已插入
- 報告位置(緯度和經度)
- 獲取已安裝的APP列表
- 啟動攻擊者指定的APP
- 檢查設備上的攝像頭數量
- 選擇要訪問的特定攝像頭
- 創建特定的彈出消息(toast)
- 錄音
- 在外部存儲上創建文件
- 提取通話記錄
- 列出指定目錄中包含的文件
- 撥打電話
- 提取簡訊
- 發送簡訊到指定電話號碼
- 提取聯繫人列表
同一C2伺服器連接到71個惡意APP
進一步調查發現,同一C2伺服器連接到71個惡意APP,其中有64個包含商業化的間諜軟體SpyNote,其他還有SandroRat、AndoServer和SLRat。
研究人員表示,所有這些APP均未出現在類似Google Play這樣的官方應用商店中,這表明它們可能是通過被黑的網站或第三方應用商店分發的。
為什麼說這些APP出自敘利亞電子軍之手?
研究人員解釋說,並非所有在這場監控活動中使用的惡意APP都被清除了敏感信息。例如,有很大一部分SpyNote樣本都將C2信息、版本號以及其他信息存儲在了「res/values/strings.xml中」。
在這些APP的strings.xml文件中,有22個都引用了「Allosh」,而這個名稱此前就曾被敘利亞電子軍使用過。例如,「c:\users\allosh hacker\documents\visual studio 2012\Projects\allosh\allosh\obj\Debug\Windows.pdb」和「c:\Users\Allosh Hacker\Desktop\Application\obj\Debug\Clean Application.pdb」
敘利亞電子軍是何來歷?
據稱,敘利亞電子軍成立於2011年5月,主要任務就是攻擊敘利亞政府的「敵人」。
在2013年10月,敘利亞電子軍就曾聲稱黑掉了前任美國總統歐巴馬的個人網站,以及Twitter、Facebook帳號和電子郵箱。
在當時,點擊被黑網站會跳轉到SEA的一個網站,上面寫著「Hacked by SEA」。
而點擊Twitter和Facebook上面發布的幾條連結,全都會被重定向到一個顯示敘利亞真實現狀的視頻。
從當時該組織分享的截圖來看,他們還登陸了歐巴馬的Gmail:
在2014年3月,敘利亞電子軍還聲稱入侵了美軍中央指揮部,並公布了包含2萬多文件的軍方在線知識庫(Army Knowledge Online,AKO)伺服器的文件目錄。
在同年的感恩節當天,敘利亞電子軍更是入侵了美國各大熱門媒體網站,並在網站的頁面上掛出一個窗口,上面寫著「你已經被SEA黑了」。
敘利亞電子軍最近也一直非常活躍,他們的一個Twitter帳戶分別於本月2日和7日聲稱對比利時媒體DDoS攻擊事件以及PayPal和eBay網站入侵事件負責。