360天眼实验室的追日团队日前披露称,一个名为“洋葱狗”(OnionDog)的黑客组织长期对亚洲国家的能源、交通等基础行业进行网络渗透和情报窃取,根据大数据关联分析,“洋葱狗”的首次活动可追溯到2013年10月,之后两年仅在7月底至9月初之间活动,木马自身设定的生命周期平均只有15天,具有鲜明的组织性和目的性。
“洋葱狗”恶意程序利用了 境内的多个固定IP作为木马服务器地址,当然这并不意味着攻击者位于韩国,这些IP更可能只是傀儡机和跳板。到了2015年,“洋葱狗”的网络通信全面升级为暗网网桥,这也是目前APT黑客攻击中比较高端和隐蔽的网络通信方式。
暗网网桥,是指暗网搜索引擎利用Tor2web代理技术,可以深度访问匿名的Tor网络,而无需再专门使用洋葱浏览器。“洋葱狗”正是利用暗网网桥将控制木马的服务器藏匿在Tor网络里。
近年来,针对基础行业设施和大型企业的黑客APT攻击活动频繁曝出,其中有的会攻击工控系统,如Stuxnet(震网)、Black Energy(黑暗力量)等,直接产生巨大的破坏力;还有的则是以情报窃取为主要目的,如此前由卡巴斯基、AlienVault实验室和Novetta等协作披露的Lazarus黑客组织,以及360追日团队最新曝光的OnionDog(洋葱狗),这类秘密活动的网络犯罪所造成的损失同样严重。
根据“洋葱狗”的活动规律,今年夏天很可能又是其新一轮攻势的开始。
