ThreatConnect Inc.與Defense Group Inc.(DGI)合作發現,“Naikon”APT小組隸屬于xxx局(部隊編號7xxx)。這一判斷是有根據的,我們通過技術分析Naikon小組的威脅活動,并通過研究7xxx部隊軍官葛xx的一些言論,最終得出了這一結論。
近五年來,7xxx部隊一直在利用全球的中點基礎設施,通過代理來命令和控制自定義木馬。這些木馬經常會嵌入到惡意附件或文檔漏洞,然后通過釣魚活動來進行傳播,從而感染目標組織,進行下一步的利用活動。
7xxx部隊主要是通過發動網絡間諜活動來攻擊東南亞的軍事,外交和經濟組織。攻擊目標包括柬埔寨,印度尼西亞,老撾,馬來西亞,緬甸,尼泊爾,菲律賓,新加坡,泰國和越南的政府機構,以及一些國際組織,比如,聯合國開發計劃署(UNDP)和東盟(ASEAN)。
我們認為,7xxx部隊的關注焦點是南海爭端,隨之而來的就是快節奏的情報收集。由此對美國造成的戰略影響不僅僅在于該地區的軍事同盟和安全合作關系,同時還威脅到了國際貿易的主動脈,在這里每年的貿易額都能到達上百億美元。
我們通過鉆石模型來研究exploitation活動的技術和非技術性證據,從而在復雜的數據點中發現關系。鉆石模型是一種分析網絡入侵事件的方法。這個模型可以根據組成任何事件的4個互聯核心要素-敵人,基礎設施,能力和受害者,獲取到其名稱和形狀。所以,分析安全事件,從單純的入侵情況到完整的活動,需要收集關于這四個元素的信息,然后使用這些信息拼湊出鉆石模型,這樣,就能根據完整的上下文,理解在不同時間中威脅的情況。
在2012年4月,ShadowServer首先介紹了Naikon威脅,只是當時他們還沒有確定這個威脅的叫法,只是記作了一個 “未知”威脅。當時,他們從HardCore Charlie數據轉儲中獲取到了釣魚誘餌,并分享了分析結果。直到2013年6月,Naikon APT才引起了大眾的注意,當時,TrenMicro發布了一份關于Naikon Rartsone木馬的詳細報告。
2014年5月,ThreatConnect發布了一篇文章“Piercing the Cow’s Tongue”,文章中引用了中國劃定的南海領土范圍,他們證實Naikon小組已經針對東南亞國家發動了大量的攻擊活動。一年后,卡巴斯基實驗室也公布了一份詳細的白皮書,詳細地敘述了Naikon的歷史活動和關鍵技術發現。卡巴斯基也認為,Naikon的目的明確,資源充足,目標就是東南亞的一些國家。他們還指出,“至少從2010年開始出的圍繞南海的大量攻擊活動都是由Naikon小組負責的。”
鉆石模型是一種分析框架,用于評估網絡入侵事件,也是我們評估Naikon APT小組的基礎。為了幫助讀者的理解,我們接下來會突出一些重要的方面。
“Naikon” APT小組與xxx局7xxx部隊有關系。
一言以蔽之,南海很重要,能源和經濟意義重大。
圖1-南海爭議地區和獨有的經濟區域
在中國南海地區,有大量的島嶼,環礁存在長期的領土爭議。中國,菲律賓,越南,馬來西亞和臺灣都對南沙群島(具有豐富的能源和漁業資源)宣告主權。其中,中國將大部分有爭議的地區都劃為了自己的領土范圍。各國之間的沖突也逐漸從簡單的漁船騷擾升級為了軍艦對抗。
中國對南海的態度非常強硬,因為中國軍事實力的發展,在必要時會出動武力來捍衛自己的領土主權。
除了軍事力量部署,某國也在依靠網絡防御能力來收集與中國南海相關的地區性軍事,外交和經濟情報。暗地里,中國還發動了大量的計算機網絡刺探活動,來攻擊涉事國家,7xxx部隊就是主要的一支戰斗力量。
圖2:永暑礁
為了鞏固在南海的所有權,一些地區國家開始填海建島,并把一些海底材料遺留在珊瑚礁上,這一過程給珊瑚礁造成了不可逆轉的傷害。在過去的18個月中, “中國重新恢復了2,000公頃的面積,比其他所有國家的總和還要多,是該地區的歷史之最。”最明顯的就是在永暑礁上的活動。在自然狀態下漲潮時,永暑礁會被淹沒。在2014年8月至11月期間,中國在現有的珊瑚礁基礎上擴建了11次。
菲律賓采取了不同的辦法,他們是通過國際法來維護自己的利益。
雖然,北京不愿意通過國際仲裁來解決問題,但是中國一直在監控著相關的情況。
卡巴斯基實驗室對Naikon APT小組的分析最為詳細,他們認為這個小組在5年的時間內負責了大量由于地區因素發動的攻擊活動。卡巴斯基認為,Naikon小組的活動成功率很高,滲透了大量東盟國家的政府性組織,早期的受害者大都分布在緬甸,越南,新加坡,老撾,馬拉西亞和菲律賓。攻擊目標包括與南海事務相關的高級別政府和軍事機構,以及國家媒體,國有和私有的能源組織。
從Naikon的行動結構來看,他們的主要目標是獨立的國家,通過部署特定的工具來攻擊目標國家中的大量組織。為了進入目標網絡,Naikon會依靠郵件作為攻擊途徑,并結合社交工程來準確的識別目標。在發動攻擊前,他們首先會收集目標的姓名,郵箱地址,出生日期,感興趣的事件,國籍,性別,以前的郵件和社交網絡通信。卡巴斯基注意到,這個小組利用了一些誘餌內容來發動攻擊,包括 “聯合國就核擴散和裁軍的討論和投票” “馬航MH370失聯” “雷神公司在菲律賓建設國家海岸監控中心”等誘餌文檔。Naikon經常利用地區性話題作為誘餌,從中不難推測,他們的具體目標是誰,并且每經過一段時間就會用新的誘餌主題,這一點也要比其他常規的惡意攻擊者更顯著。
Naikon的活動結構,目標特征和精準的社交工程也映證了我們的假設,Naikon APT小組就是7xxx部隊,具體的結論在第二章中有說明。
在了解了某國的地緣政治和某國南海地區的網絡作戰后,接下來我們要圍繞數據,深入分析7xxx部隊的作戰基礎設施。我們希望通過分析域名gxxx.vicp.net,來更好的理解敵人的作用范圍,結構和活動。
和其他的APT一樣,7xxx部隊利用了動態域名基礎設施來增強木馬的生存能力和移動能力。這樣,攻擊者就能快速地把C2轉移到新的主機上,因為IP地址是硬編碼在木馬中的,所以在重新部署時,也不會耗費太多的資源。
7xxx部隊使用的基礎設施有著鮮明的特點,他們通常是根據其責任區中,南海和東南亞機構的名稱來命名其基礎設施。接下來,我們會對7xxx部隊使用的基礎設施進行歸類。
除了這樣的命名習慣,7xxx部隊在很少的情況下還會用人名來命名其基礎設施。比如 “Uglxxx”這個人就是6xxx部隊的王xxx。
我們通過研究證實,7xxx部隊的一名成員至少從2010年開始操作gxxx.vicp.net,在這期間,至少有8個自定義木馬引用了這個主機名。在這一部分,我們沒有分析這些樣本使用的技術,而是簡單地強調了這些木馬會與gxxx.vicp.net通信,并深入分析了這個基礎設施。
表1-已經發現的Naikon木馬,這些變體的CC通信地址都是gxxx.vicp.net
我們發現其中的一個二進制會投放一個誘餌文檔(a2378fd84cebe4b58c372d1c9b923542 ),這個誘餌文檔實際上是一個自解壓可執行程序。這個文檔的格式是微軟Word文檔,里面的內容是一篇泰語文章,并且還引用了2012年6月28日,泰國海軍新聞發布會上的圖片,圖片中描述的是越南漁民因為在泰國的獨有經濟區內捕魚而被捕的畫面。Naikon非常喜歡用話題性的地區政治事件作為誘餌內容。但是,更主要的還是Naion木馬與gxxx.vicp.net域名之間的直接關聯。弄清楚了這種關系,我們的調查重心轉向了gxxx.vicp.net背后的基礎設施。
圖4-Naikon誘餌文檔的內容是從2012年6月泰國皇家海軍新聞發布會上截取的
通過DNS active和passive數據,我們獲取到了gxxx.vicp.net的解析時間線。最早的活動可以追溯到2010年9月,一直持續到2015年8月這份報告的起草。我們的記錄顯示,在這段時間范圍內,有2,350個解析指向了1,235個不同的IP地址,跨越了26個城市和8個國家。圖5中在世界地圖上圈出了gxxx.vicp.net的自治系統號(ASN)分布。
圖5-與gxxx.vicp.net關聯的IP地址的ASN
ASN的地理分布非常有趣,也透露出了很多信息。我們立刻發現,在中國和東南亞出現了大量的標識。這也證明了我們之前的判斷,7xxx部隊非常關注南海地區的情況。另外,還有幾個主機是托管在美國本土,雖然看似遠離戰場,但是隨著我們展開調查,我們發現這幾個主機的作用很大。有意思的事,我們沒有在該地區發現常見的經濟和詐騙網絡犯罪 。
圖5中顯示了gxxx.vicp.net基礎設施的地區分布,圖6中顯示了這些基礎設施的作用和關系。
這一部分中的重要定義
圖6-與gxxx.vcip.net動態域名相關的IP地址網絡圖
圖6中的網絡圖是根據每個位置與gxxx.vicp.net的中心距離來判斷其權重。點的大小表示這個城市中,IP地址的DNS解析數量。弧線表示的是DNS記錄在不同城市的IP之間從源頭到目的地的移動,弧線的密集成都表示相關的傳輸頻率。下面是我們的一些總結。
我們使用了兩種觀察方法來研究gxxx.vicp.net,以及攻擊者是如何利用這個基礎設施來執行任務。這兩種測量方法一種是DNS解析的數量,另一種是每個解析的時長。另外,我們的分析中也考慮了上下文信息(比如,地理位置,ASN)或派生指標(比如,總時間,或某個城市中的DNS解析),但是,這些方面都是建立在那那兩個基礎指標的基礎上。圖7(解析)和圖8(時長)中是具體的測量結果分布。
這兩張圖都能體現出gxxx.vicp.net域名是動態的。在圖7中,大約有一半的IP地址在這5年中只有一次解析,有3次解析的不超過1%。只有極少數的會有十幾條DNS記錄。圖8中,雖然有一些解析能持續幾個月,但是80%的少于1天。大約有1/4不到一個小時。這些結果需要進一步的查詢那些數據突出的主機。從網絡防御的角度看,這也提醒我們不要總與IP地址玩 “打地鼠”的游戲,而是要尋求更有效的方法來識別,曝光和攔截互聯網上的這些惡意基礎設施。
圖9-每個IP的平均解析時長 VS 解析數量
接下來的調查目標是找到突出值,圖9中在坐標系中標出了所有與gxxx.vicp.net關聯的IP地址。x軸表示了每個IP地址的平均解析時長,y軸表示了每個IP地址的解析總數。多數IP的特征都很相似,都集中在左下角。有趣的是,距離最遠的突出值表示了三個不同國家的三個城市,這三個IP的解析時長動向都有顯著的變化。不僅僅是猜測,我們會取出這些值,以城市為中心,進行簡單的數據分析。
圖10-解析到的城市 VS 平均解析時長
圖10對圖9進行了重繪,對比了每個城市的總解析數量和平均解析時長。在考慮到上下文和gxxx.vicp.net的角色后,圖10中更突出了昆明,首爾,曼谷和丹佛這幾個大城市。據此,圖11中又給出了更詳細的解析指標對比,包括這幾個重大城市和其他的的一些重要城市。
圖11-每個城市的解析指標
圖11中,各個城市的變化是很明顯的。昆明,7xxx部隊的總部,在各方面都占據統治地位,再次證明這里是gxxx.vicp.net的活動中心。
昆明中的解析活動更加頻繁,IP地址之間的傳輸占用的總時間也更長,并且昆明似乎 比其他城市“掌握著”更多的基礎設施。在丹佛中,單個IP地址的平均時長是昆明的6倍,首爾的2倍。
首爾和曼谷的情況類似,不過我們更多的分析了首爾。從這張圖中很難辨別其他的城市的情況,但是下一張圖就沒問題了。
圖12中顯示了所有的解析指標占比,包括所有與gxxx.vicp.net相關的城市。圖12中的數據是以城市為中心,而不是圖11的以指標為中心。這樣,就能避免昆明的霸主地位,更平等的比較各個城市的不同。所有的影響因素都是一樣的,各個城市的IP解析比率和時長都應該大致是相同的。但是,實際上解析比率的變化非常大,這些發現很有趣。我們又測試了域名解析數據的數據意義并證實了這些差異是具有意義的。因此,我們認為這些發現是有意義的,并不是隨機的數據變化。但是,這些發現具體有什么含義呢?
圖12-各個城市的解析指標比率
我們假定,不同的解析指標比率反映了某個位置的目的,以及基礎設施或活動的功能。如果某個位置的解析比率很高,那么就能反映出相應的訪問級別,控制和舒適度。如果攻擊者夠謹慎,那么他不可能長期的重復解析到高危區域。而是經常的解析到安全和熟悉的區域。
特殊IP的傾斜程度對應著地區投入和控制。如果,一個區域中存在大量一次使用的主機,這就說明解析經常通過這些基礎設施,并且對單個主機的依賴程度不高。相反的,如果一個區域內只有一到兩個IP,多年來的解析頻繁,那就說明這個位置具有戰略意義和價值,無論是在主機層面還是位置層面。
當解析次數比率高于解析數量或特殊IP的數量時,這就說明攻擊者很長時間內一直沒有修改過這些域名。第四章中解釋了攻擊者這樣做的原因。
通過分析gxxx.vicp.net背后的基礎設施,我們推測出了三種通用的基礎設施模式:
昆明就屬于這一類,在這5年中,有大量的短時間解析指向了一些僅僅使用過一次的IP。由此可見,攻擊者與昆明之間的關系密切,并且也說明攻擊者缺乏行動安全意識和疏忽。我們猜測,控制gxxx.vicp.net的人員很可能居住在昆明或昆明附近,并且安裝了Oray Peanut Shell客戶端,當攻擊者沒有建立VPN連接時,這個客戶端就會自動從本地ISP的地址池中獲取位于昆明的IP地址。這就和筆記本電腦一樣,當在不同的位置時,比如家,辦公室,商店,筆記本就會獲取新的IP地址。
另一個需要注意的模式是,在一個既定位置,會有少量周期性的解析到重復的IP。對于非中國網站大多都是這種模式。造成這一現象的原因可能是周期性的收集關于中國南海區域的目標情報導致的。攻擊者在進行傳統的遠程CC通信時,會連接到一些主機,在完成任務后,攻擊者就會退出這些主機。我們認為,之所以退出的很倉促,是因為攻擊者僅僅是想通過快速連接檢查受害者是否上鉤。另外,攻擊者的操作環境可能也不太理想。可能是因為網絡飽和,延遲或C2 IP被攔截,致使攻擊者必須使用另外的C2重新訪問受害者設備上的木馬。
在丹佛,首爾和不可路由(0.0.0.0)觀察到的模式表明,當gxxx.vicp.net離線或不與可路由基礎設施交互時,這些位置就會投入使用。只有這些位置的總解析時間顯著地高于其特殊IP和解析數量。首爾就像是一個大雜燴,攻擊者使用了首爾的多個IP進行域名停放,也有其他的一些IP被用作了傳統的C2主機。圖13中在剔除了首爾的ASN后,更能直觀地表現出這一點。ASN 10036更像是用于了C2通信,而ASN 3786更像是用于了域名停放。
圖13-與選中的ASN相關的解析指標比率
為了驗證我們的假設,我們又一次通過數據測試,對比了丹佛和首爾的解析指標。結果表明,這兩個城市沒有明顯的區別,這也是我們能想象到的,如果這兩座城市的情況類似。但是,更進一步,我們在另一項測試中加入了 “不可路由”解析(我們知道這是域名停放),結果還是沒有明顯區別。這就證明丹佛和首爾采用了相同的模式。所以,為了不惹怒那些認為 “數據會說謊” 的人,我們在可控的風險范圍內,(采取了一些預防措施)簡單訪問了丹佛的IP地址和gxxx.vicp.net來證明這一點。圖4中就是我們的發現。這有一次的證明了我們的猜測,當Oray Peanut Shell客戶端的用戶登出時,gxxx.vicp.net域名就會指向丹佛ISP的一個IP地址。至于 “為什么是丹佛”,請參考更詳細的Oray基礎設施信息。
圖14-當我們嘗試解析gxxx.vicp.net和丹佛IP 174.xxx.xxx.xxx時,看到了這樣的畫面
一張普通的圖片可能需要用1,000個字來講明吧,但是圖15至少需要2,000個字來解釋,目前為止,在這一部分我們已經用了2000多個字來分析gxxx.vicp.net的基礎設施。圖中顯示了在這5年中,gxxx.vicp.net域名曾經解析過的所有IP,一次性地完整顯示了我們了解的所有信息。
圖15-所有與gxxx.vicp.net關聯的IP網絡圖
少量用明亮顏色突出的關系節點關聯著更多的主機。上面提到的3種模式已經很明顯了。最大的點是丹佛,首爾和0.0.0.0的停放/離線IP。中間小點密集的區域是速度快,變化快的昆明本地交換基礎設施。其他顏色相同,但稍微大一點的小點也是昆明的本地交換基礎設施,但是他們的使用時間和頻率要比一次性IP更長。其他中小型的中層節點構成了收集基礎設施,多數都是位于南海區域目標國家的C2主機。在圖15中,泰國的C2基礎設施尤其突出,表明泰國可能是攻擊者主要的收集目標。
圖16-每個城市在不同時間的相對解析時長水流圖
圖15已經足夠好了,但是在總結之前,還有最有一個話題值得討論。圖16中的水流圖表示了各個城市中與gxxx.vicp.net綁定的IP,在不同時間中的解析時長比率。從圖中,可以總結出:
前兩年,占據主流的是與昆明及周邊地區的交換,在當時,攻擊者可能剛剛開始執行任務和活動。在2012年開始的兩年中,境外收集活動開始增加,主要是泰國和韓國。隨著收集活動的減少(可能是因為任務完成了或削減了),攻擊者開始更多的把域名停放在首爾,然后在離線后,更多地聯系丹佛的服務提供商聯系,并一直持續到了起草這篇文章的時候。無論這種解釋對不對,很明顯還需要后續的深入調查。為此,我們接下來要研究Gxxx的真正身份。
與上一章類似,在這一章中,我們會嘗試確定攻擊者的身份。我們通過開源母語研究,已經發現7xxx部隊的一名解放軍軍官-葛xx與Naikon的基礎設施存在關系。葛xx在多個社交媒體上,都用 “Gxxx”注冊了賬號,最早的注冊時間可以追溯到2004年,根據他公開的內容顯示,他的所在地在昆明。另外,我們還通過他的出版文章和拍攝的照片,確定了他與第7xxx部隊的關系。
在Naikon APT使用的所有C2域名中,gxxx.vicp.net最突出,因為這個域名經常解析到位于云南昆明的主機,并且與直接攻擊東南亞目標的Naikon木馬存在密切的聯系。在更深入的調查中,我們通過漢語分析發現 “gxxx”與解放軍軍官葛xx在2010年使用的騰訊微博用戶名Gxxx存在關聯。
圖17-Gxxx的關系情況和身份
我們通過開源研究 “gxxx”,發現了大量中國在線論壇和社交平臺賬戶,這些賬戶都屬于昆明的一名用戶。在一個名叫Gxxx的騰訊微博賬戶中,我們發現了700多條微博和500多張照片。這個賬號好像還是活動的,有300多名關注者,最近的內容更新是在2014年11月。通過關聯這些信息與騰訊微博中的照片,我們大致了解了葛xxx,這名解放軍7xxx部隊的軍官就是Gxxx。
圖18A-Gxxx的騰訊微博賬戶中有700多條博文,500多張照片
圖18B-Gxxx-這兩張照片在2013年出現在他的騰訊微博中
圖19-Gxxx,山地車,2014年上傳
我們根據他的騰訊微博賬戶,第三方網站和他發布的模型、山地車出售信息,獲取到了他的真實姓名。首先,通過他在2013年11月23日發布的照片,去游覽葛家的祖先紀念堂,從中我們間接的知道他姓葛。第二,Gxxx的騰訊微博昵稱是xx。一般情況下,用戶不會用真名來注冊賬戶,而是用與真名接近的名字來做昵稱。
圖20-谷歌搜索結果
通過一家專門做QQ身份識別的第三方網站,我們了解到Gxxx的所有者就是葛xxx。另外搜索 Gxxx的QQ號 “4xxxxx+葛”,在返回的鏈接qun.594sgk.com/qq/xxxxxx1.htm中,顯示葛xxx就是這個賬號的所有者。
葛xxx/Gxxx的在線活動證實了這一注冊信息。在2004年,一名居住在云南的用戶-Gxxx,在 5IRC.com模型論壇上發布了一些關于飛機模型部件的廣告其中一個帖子中就包括有QQ號4xxxxxx和電話號碼1360xxxxxxxx (tel:136xxxxxxxx)。
通過搜索這個QQ號和電話號碼,我們在臨滄自行車二手網站上找到了2014條帖子,都是在出售廣告山地自行車,其中的聯系人就是葛先生。這則帖子已經無法訪問了,但是通過Google Images的cache,還是可以訪問其中的圖片。出現在葛先生廣告中的山地自行車與Gxxx 騰訊微博中的自行車照片是在同一間房間中拍攝的。由此可見,Gxxx姓葛。
圖21-左:臨滄二手自行車論壇,“葛先生”在出售山地車;右:Gxxx的騰訊微博上的圖片,是另一臺山地車,在同一間房間中
最后,Gxxx在2012年的時候,在百度貼吧上發了一個帖子,讓網友給他的小孩推薦三個字的名字,姓葛。
在上面的廣告中,葛xxx的位置都是在昆明。雖然他的騰訊微博上標注自己在愛爾蘭,但是大量上傳到這個賬戶的照片,包括他的車牌,自行車的GPS記錄以及昆明地標性建筑的照片都證明葛xxx在昆明。
葛xxx的汽車,大眾高爾夫的車牌是云南車牌,云A指的就是云南省昆明市。
圖22-Gxxx的汽車牌照
葛xxx在騰訊微博上分享了一張在昆明的騎行圖。這些路線可能是通過智能手表或智能手機應用記錄的,下面的圖中是他分享的從五華區騎行到昆明中心的路線。
圖23-葛xxx的騎行路線
除了這些路線,Gxxx有一次還用SOSO地圖分享了自己的位置,也是在昆明。圖中的位置是昆明市衛生學校,云南省昆明市教場西路6號。這個位置與上圖中騎行結束的位置很接近。
圖24A-葛xxx分享自己的位置
Gxxx的騰訊微博中,有很多照片都是拍攝的昆明及周邊地區的飯館,花園,交通站,博物館等。下面的這張圖就是其中一個樣本,這些照片的拍攝日期范圍在2012年到2014年之間,說明Gxxx目前還居住在昆明。
在2013年1月2日,葛xxx還發布了一些照片,并取名 “親愛的黨校”。中共昆明市委黨校有多個校點,很可能,因為解放軍的政治要求,葛xxx參加了黨校的短期培訓。
圖24B-葛xxx發布的 “親愛的黨校”照片
圖25-Gxxx拍攝的昆明
Gxxx的居住地址并沒有出現在他的騰訊微博上,但是昆明媽媽網上有一個賬號的用戶名是gxxx和用戶編號7xxxxx,并且顯示賬戶的街道地址是云南省 昆明市 xxx區 xxx道。
很可能昆明媽媽網上的gxxx與騰訊微博上的Gxxx就是同一個人。這兩份檔案都顯示用戶的居住地在昆明。昆明媽媽網上的賬號是于2012年在網站的 “新生兒”板塊注冊的,并且在他的騰訊微博上發布的照片顯示,他的小孩也是在同一年出生的。Gxxx于2012年11月在百度貼吧上也發表了小孩出生的信息。
另外,昆明媽媽網上顯示的蓮華街道社區地址也與Gxxx騰訊微博賬戶上的地址信息一致。在上圖中,Gxxx正在昆明xxx學校附近,右手邊的圖中是xxx街道社區,東邊是教場中路。下圖中是的位置在昆明xxx區。
圖26-昆明 xxx區 xxx街道社區的位置,距離7xxx部隊大約0.42英里
在他的Gxxx騰訊微博和一些網站上,有大量的證據顯示,葛xxx與jiefangjun存在長期的關系。葛xxx在1998年進入中國xxx學院,成為了一名解放軍軍官。根據他在畢業時寫的學術論文推斷,他在2008年的時候進入了昆明xxx局。在他的騰訊微博上,有大量從2011年到2014年間拍攝的照片,這些照片顯示他位于昆明xxx局的總部,證實了他與解放軍之間的關系。
Gxxx的騰訊微博簡介上說,他是在1998年入取進入xxx學院。xxx學院在南京,于1961年建校,培養出了大量精通國際戰略,軍事外交關系和外語的解放軍軍官。這所學校隸屬于總參謀部,學院的畢業生有的執行情報翻譯、報告工作、 軍事聯絡或在軍事院校外語教學 。這所學校還在昆明設有分校,但是,我們不清楚Gxxx與這所分校有沒有保持聯系。
在Gxxx的騰訊微博上,還有照片能證明他與解放軍的關系。在2014年拍攝的一組照片顯示,他參加了昆明的解放軍建軍87周年的慶祝活動。這次活動是解放軍內部的一次活動,不對公眾開放。活動內容有室外的消防演戲和室內講話。
圖27-葛參加2014年的解放軍活動
通過Gxxx在2014年前往xxx學院時拍攝的一組照片,也能證明他與解放軍存在關系。
圖28-葛xxx在2014年前往了xxx學院
我們通過搜索中國知網數據庫,找到了兩篇與Gxxx相關的研究論文。這兩篇論文都是在2008年寫的,作者署名就是葛xxx,昆明,7xxx部隊。
圖29-葛xxx寫的論文,表明他隸屬于7xxx部隊,云南,昆明,6xxxxx
這兩篇論文的主題都是泰國的政治情況。其中一篇論文的標題是 “xxx原因分析”。作者介紹中顯示葛xxx于1980年出生,并于2008年在xxx大學取得了xxx政治學碩士學位。
葛xxx,居住在昆明,是一名解放軍軍官,這些信息也符合Gxxx的騰訊微博簡介。從飛機模型論壇上,我們知道Gxxx至少從2004年開始就居住在昆明,所以,他在2008年的時候也可能是在昆明居住。他的出生日期,1980年也符合他的微博簡介。另外,一個1980年出生的人,在1998年考取大學,2012年成為父親,也是很現實的。
Gxxx在QQ上有幾張照片是他在2011年前往昆明xxx局總部時拍攝的。我們通過利用QQ地圖和谷歌地球,發現葛xxx可能是在基地的一個賓館和基地的主樓上拍攝的照片。
圖30-7xxx部隊的主樓和xxx 賓館
在2013年12月16日,葛xxx發布了一些在xxx賓館拍攝的照片,這個賓館是解放軍7xxx部隊的招待所。我們通過中國的一些網站得知,這個賓館的地址是云南省昆明市xxx區xxx路xxx號,旁邊就是昆明xxx院。西方分析師也確定這就是7xxx部隊的地址。
圖31-Gxxx賬戶上的圖片,xxx賓館前的停車場
根據這個地址,我們在QQ地圖上查看了大門周圍的街景。從圖中我們能看到大門上有一個紅五星的標志,大門后面的特征就很難辨別了。
圖32-7xxx部隊大門的QQ街景
根據這些信息,我們確定葛xxx所在的賓館就在基地內。葛xxx的視角是在面向大門的停車場上,照片中能看到一面墻,紅色的大門和昆明xxx院的標牌。
圖33-葛xxx在xxx賓館前拍攝照片時可能的視角。在汽車照片中,注意背景中xxx賓館,紅色安全門和昆明xxx院標牌的特征。
從葛xxxQQ上的照片來看,他至少在xxx局主樓附近的3個位置拍攝了照片,請看上圖中圈出的位置。第一組照片是關于一座高樓的4張照片,這座樓的樓頂很特別,是在籃球場附近拍攝的。第二組的照片是停車廠,在背景中有一座很特別的塔。最后是一張院子的照片。
在這些照片中,最突出的就是其中包括了基地的中心結構,能在樓頂上看到大量的衛星接受碟,這也與我們的評估相一致,這就是昆明xxx局的總部大樓。
圖34-7xxx部隊的概況,標出的區域是可能的拍照地點
這四張大樓照片好像都是從同一個位置拍攝的,拍攝時間在2011年11月到2013年3月之間。所有這四張照片的拍攝和上傳時間都是不同日期的早上8:30。由于拍攝角度不同,其中有張照片(第一張)中拍到了籃球框和籃板,籃球場地的一部分,而現在的昆明xxx局總部中已經沒有了這個籃球場。
圖35-從7xxx部隊的高樓上拍攝的照片,這座樓的樓頂有特殊的裝飾
另外一些照片中出現了一個停車場和昆明技術偵察局基地周圍的幾個建筑。這些照片的拍攝日期在2013年3月-12月期間。通過谷歌地圖和QQ街景,我們發現了一個類似是水塔的結構。
圖36-拍攝的7xxx部隊的停車場,背景中出現了一個水塔(下面三張照片),中間右側的照片是QQ街景中的地標性建筑
在2013年月3號,葛xxx在院子了拍了一張照片,照片里的院子風格與昆明xxx局主樓中間的兩個院子一致。
圖37-7xxx部隊中的院子
簡而言之,有足夠多的證據能證明Gxxx就是葛xxx,隸屬于7xxx部隊。通過在線社交媒體,地理行程和照片,以及引用的地址,又再一次地證實了葛xxx就在昆明。葛xxx的軍事和學術出版物也表明葛xxx有jiefangjun身份。他在xxx局拍攝的照片就是強有力的證據。
我們猜測葛xxx在7xxx部隊中是幫助一個技術團隊,為他們提供專業的地區知識。根據他的學術論文,以及取得的xxx學位,葛xxx有能力做到這一點。根據他的學歷,10-15年的軍齡,以及他時不時地需要出差到北京、成都和南京,葛xxx應該至少是中層干部。除了Naikon C2基礎設施,沒有跡象表明他接受過技術訓練。
我們通過分析發現,葛xxx,7xxx部隊,Naikon ATP活動之間的聯系非常密切。在這一部分中,我們會說明,為什么葛xxx的背景非常適合支援Naikon小組的活動,另外我們還分析了葛xxx的個人安排是如何關聯到gxxx.vicp.net的活動。為了證明gxxx.vcip.net域名不是雇傭別人完成的,我們檢查了這個域名更改DNS記錄的時間。我們還發現,每當gxxx.vcip.net沒有活動時,葛xxx的社交媒體就會活躍起來。
能證明葛xxx屬于7xxx部隊并參與Naikon活動的最有力證據就是他的個人生活與Naikon活動之間的關聯。我們就以葛xxx在社交媒體上的活動線,作為其個人生活的事件。我們分析發現,每當葛xxx離開昆明時,gxxx.vicp.net就會離線或停放。然后,我們更深入的分析了gxxx.vicp.net域名在這5年中的passive和activeDNS解析數據,最終我們發現,域名的解析情況與葛xxx在社交媒體上發布的事件,日期和時間有密切的關系。
為了更清楚地對比,這5年來,gxxx.vcip.net活動與葛xxx個人生活之間的關系,請參考圖38。
圖38-基礎設施活動與葛xxx的個人生活
紅線表示的是gxxx.vcip.net每天更改IP地址的次數。柱形越高說明域名越活躍,在不停地更改IP以避免檢測。從圖中可以看出,有四個明顯的時間段:從2010年10月-2011年7月,域名活動頻繁,接著到2011年10月,活動開始減少。然后到2014年6月,活動又變得很頻繁,之后的活動減少,偶爾幾條的活動很頻繁。
藍線表示的是這5年中,域名解析到的特殊IP地址的累積性增長趨勢。很明顯,紅線和藍線之間存在關聯:當域名不怎么活動時(紅線活動減少),藍線比較平緩(沒有增加新的IP使用),相反,當域名活躍時,藍線就會穩定的增長。
垂直的那幾條線表示的是葛xxx的幾次個人活動,與 gxxx.vcip.net的活動存在明顯的關聯。別急,接下來我們就深入的研究研究這些事件。
中國新年最重要的就是走親訪友,在這段時間中gxxx.vcip.net域名就不怎么活動了。下面的幾張圖中分別提供了2011年(兔年),2012年(龍年)和2013年(蛇年)新年期間的事件活動情況。果然不出我們所料,在新年的一周中,域名的活動很少。在2014年,域名活動一直不活躍,所以2014年和2015年中國新年期間的事件也沒有什么不正常的情況。
圖39-2011年中國新年期間的基礎設施活動(2月3日,周四)
圖40-2012年中國新年期間的基礎設施活動(1月23日,周一)
圖41-2013年中國新年期間的基礎設施活動(2月10日,周天)
在這3個例子中,2012年的情況最有趣。當年的中國新年是1月23日。在一天,域名的活動減少了,但是沒過多久,在2012年1月27日早上10:55(北京時間),gxxx.vicp.net 域名又重新活躍起來了。直到2月2號,星期四之前,解析一直在變化,然后,沉寂了一周,接著在2012年2月6日,星期一又恢復了活動。
我們猜測,造成這一現象的原因是因為在這期間,美國和菲律賓展開了邊境軍事合作協商。在2012年2月26日和27日,西方媒體,比如紐約時報,路透社和時代雜志都報道了菲律賓高級代表訪問美國華盛頓特區的新聞。我們估計,這一事件可能就是造成春節假期中斷,域名恢復活動的原因。
我們承認僅僅是根據域名在春節期間的不活躍狀態,不能證明操控gxxx.vicp.net的人就是葛xxx,因為在這期間,整個中國都在放假。為了找到確鑿的證據,我們根據葛xxx的在線社交活動,選出了一些與域名活動相關的特定事件。
圖42-在圖中紅柱標出的區域中,葛xxx于2012年2月前往北京,基礎設施很少見的解析到了北京的IP。
圖43葛xxx在2012年2月前往背景是拍的照片
在春節后,葛xxx在2012年2月12到16日期間,一直在北京,也就是圖中紅柱標出的區域。我們猜測這是公事出差,在這段時間中,我們發現gxxx.vicp.net解析到了一個北京的IP。在接近2,500條DNS記錄中,不到0.5%的解析到了北京-有1/3發生在這一段時間中。再結合葛xxx前往北京,我們不認為這是巧合。
在2012年11月21日,“gxxx”在百度貼吧上發了一則帖子,希望網友幫他的孩子起個名字。在我們查看解析活動時,我們發現從11月21日-29日期間的這八天,域名沒有任何活動。
圖44-葛xxx小孩的照片
圖45-在葛xxx孩子出生的一周中,基礎設施的活動
聯系到其他相關的事件證據,我們不得不相信葛xxx與gxxx.vicp.net的活動有關系。
在2013年11月23日,葛xxx去祭祖了。
圖46-QQ上發布的圖片
通過分析gxxx.vicp.net,我們發現在2013年11月23日祭祖前一周,葛xxx還在活躍地從昆明和泰國使用基礎設施。但是,在11月23日那天,gxxx.vicp.net就停止了活動,停放到來首爾和丹佛。注意,這一間隔只有28小時,所以說,28小時后,域名有開始了活動。下圖中,根據每天的解析情況不能完整的捕捉到域名在這一段時間的停放情況,但是在事件之前的水平線能很明顯的注意到域名停放。
圖47-葛xxx祭祖期間的基礎設施活動
從他的QQ動態中,我們知道他在2014年6月28日-7月1日離開了昆明,開始了公路旅行;在7月21日-22日他又走另一條線路前往了南京。在這些時間段內,我們注意到域名在6月30號的前四天停放在到首爾,在結束了南京的旅行后,于7月24日恢復活動。
圖48-在昆明外拍攝的照片
圖49-在南京旅途中拍的照片,左側和中間為xxx學院,右側為xxx大廈。
圖50-在2014年夏天葛xxx兩次旅行期間,基礎設施的活動
目前為止,我們一直在討論gxxx.vicp.net的短期變化與葛xxx個人生活的關系。但是,總的來說,域名從2010年10月到2014年5月期間都是活動的,相關的特殊IP累計數量也是在增長的。圖15中的藍線表示的就是IP的數量趨勢,在2014年末的時候,這條線突然變成水平的了。IP數量的顯著減少與整體活動數量的減少不無關系。
圖51-2014年5月19日前后的基礎設施活動
一種可能的解釋是,在2014年5月19日,美國司法部起訴了中國6xxx部隊的5名解放軍軍官。在同一天,ThreatConnect公布了一份關于Naikon活動的詳細報告。
另一個有趣的現象是觀察gxxx.vicp.net更改DS記錄的時間。與我們的結論不同,一種可能的猜測是操作gxxx.vicp.net的是一名自由職業者。但是,通過圖52中的DNS記錄分布,我們能看出這個人的工作時間很有規律。圖中的時間是中國標準時間,與葛xxx的工作時間十分類似。例如,在早上9點左右是域名活動的高峰,中午午飯時間,域名就不怎么活動,每天結束工作的時間大約在下午6點-8點之間。在中午的時候,DNS記錄分布很平穩,在早9:00-下午5:00,有大量的數據。
圖52-2010年-2015年,解析活動時間總計
例如曼谷,丹佛和首爾等其他城市的一些時間數據也證實了我們結論,以及對這些城市的角色判斷。正如我們前面提到的,葛xxx的學術背景重點在泰國政治上,有大量的短時解析都是指向了曼谷,曼谷的解析數量僅僅次于昆明。解析時間主要集中在葛xxx的工作日,一般是早上的幾個小時。可能的情況是,葛xxx早上9點上班,通過VPN來控制Naikon的遠程C2基礎設施,手動更新Oray Peanut客戶端或設置成自動解析到曼谷的C2 IP地址,因為他的攻擊目標也大多在這里。
圖53-2010年-2015年曼谷,丹佛和首爾每天的總解析時長(中國標準時間)
曼谷圖中表明了收集活動,丹佛和首爾的每日數據時間也都符合域名停放的正常情況。多數丹佛的解析活動大都是發生在午飯前或結束前。首爾的解析數量更高,解析比率要小于耗費的時間。首爾的情況與丹佛大致相同,只是有些解析發生的更早。同樣,在中午和結束前,有大量的解析,最大值偏差要比丹佛小。
調整了軍事級情報的占比,7xxx部隊的這些行動不只是為了從企業網絡中獲取情報。而他們的這些網絡入侵活動只是一種方式而已。我們分析的gxxx.vcip.net基礎設施也只是冰山一角。
翻譯來源: http://cdn2.hubspot.net/hubfs/454298/Project_CAMERASHY_ThreatConnect_Copyright_2015.pdf?t=1443030820943&submissionGuid=81f1c199-859f-41e9-955b-2eec13777720
