iSOON泄密事件:探索一体化作战平台
2024年2月,网络安全社区获得了一份未经授权的公开信息披露,前所未有地揭示了中国政府使用的某些对抗性工具和战术,以及针对国际公司和政府部署的特定行动和能力。这些数据来自一家名为iSoon(也称安洵)的中国私营公司,该公司向多个中国政府实体出售其工具和服务。泄露的数据主要包括2022年的文档和聊天记录,虽然信息丰富,但在深入的技术细节和证据方面并不完整。然而,其中一份44页的白皮书提供了一个非常有趣的视角,展示了一款用于管理和执行网络行动的工具——一体化作战平台。以下基于可用信息,精选了该平台声称的能力、设计和功能亮点,并附上我们的分析。(以下截图直接取自泄露数据。我们原样提供它们以提供上下文,并在文本中详细说明了有趣元素以弥补低分辨率。)
摘要
图1 - 一体化作战平台快照
亮点
以下是一体化作战平台的一些关键要点:
- 它是一个标准化的网络行动资源、协作和任务管理平台,专为iSoon和公安部(MPS)设计。
- 一体化作战平台涵盖内部和外部应用程序及网络。内部应用程序主要用于任务和资源管理。外部应用程序设计用于执行网络行动。
- 该平台为各种利益相关者(高层管理和业务实体、运营等)提供每个任务和整体操作员性能的数据。它还有一个奖励管理系统,为每个完成的任务授予操作员积分。管理利益相关者可以审查操作员的性能并评论他们的工作。
- 用于网络行动的外部应用程序和系统具有特定的规避能力,以避免检测和阻碍响应与归因,例如自毁、证据清除,以及使用非中文语言和时区来帮助混淆操作员的位置和国籍。
- 漏洞利用/有效载荷从平台存储和管理。
- 内部和外部应用程序上都提供沙箱环境,用于分析黑客工具和从感兴趣目标外泄的数据。
- 内部应用程序用于维护社区知识库,供操作员分享关于工具、漏洞和社会工程方法论的经验和技巧。
- 该应用程序可以部署、管理和安全地停用用于网络行动的虚拟专用服务器(VPS)系统。
一体化作战平台(一体化作战平台)
一体化作战平台是由iSoon开发的进攻性网络行动管理平台,被该公司用于自己的行动,并出售给公安部。这个单一平台使他们能够标准化并提高服务集成、资源效率、团队协作和平台安全性。
该平台由两个应用程序(一个内部和一个外部应用程序)组成,分别位于两个私有网络之间,有一个防火墙分割这两个网络。内部应用程序被称为一体化作战内网平台(一体化作战内网平台),外部应用程序被称为一体化作战外网平台(一体化作战外网平台)。这两个应用程序看起来非常相似,但具有不同的功能和角色。内部网络包括内部应用程序和命令与控制(C2)终端,通过加密的出带连接向外部C2终端发送加密命令。外部应用程序和私有网络用于隐藏操作员的身份,并通过匿名注册的虚拟专用服务器(VPS)指导攻击行动,这些VPS通过可能不知情的主机提供商购买,允许攻击活动隐藏在噪音中。外部应用程序管理VPS、有效载荷和漏洞利用,以及用于网络行动的链接生成。在到达目标主机之前,通过代理层(可能是Tor或类似服务)匿名化互联网连接以隐藏踪迹。
为公安部构建
该平台的主要用户是公安部的TZ网络单位。泄露文档中 noted TZ是“特别侦察”(特侦或特别侦察)的缩写,基于以下上下文:
以下是搜狐网上可用的2018年新疆公安厅特别侦察单位的一篇旧招聘文章,提到了这类单位的标题:
白皮书还指出,平台的外部网络不能包含任何个人可识别信息(PII)。以下是几种禁止的PII类型,包括“公安官员编号”:
这表明该平台可能被公安部用于进攻性网络行动,并且他们希望防止任何潜在的识别和归因向量。
反侦察设计
白皮书指出,该平台具有各种“最佳实践”安全设计原则,以确保平台的完整性,例如静态和传输中数据加密、定期安全测试、系统和漏洞监控以及补丁管理。然而,最有趣的安全元素是外部网络元素中的反侦察设计功能,包括:
- 使用长且随机的外部平台登录主机名。
- 使用不相关的系统主机名。
- 平台被伪装以防止猜测登录地址。
- 外部平台上的所有信息必须与iSoon业务/服务无关,包括文本、徽标、功能和书签。
- 平台代码中不能存在开发和开发人员相关信息。发布前需要代码审计和安全测试。
- 平台不存储任何与操作员相关的信息,也不记录任何使用历史。
- 平台开发、网络提供商注册和VPS托管必须匿名进行以隐藏身份。系统、语言、时区、系统环境、输入法都必须配置为使用非中文语言。
- 如果平台被检测到或系统被入侵,外部平台会断开与互联网的连接并启动自毁过程。
自毁功能似乎是先前识别的用于针对异议人士的中国间谍软件中的常见功能:
- https://cyberscoop.com/researchers-uncover-latest-version-chinese-spyware-used-target-dissidents/
- https://thehackernews.com/2014/04/Spyware-german-aerospace-center-cyber-espionage.html
一体化作战内网平台
内网平台似乎主要专注于任务和资源管理。它维护一个社区知识库和自己的安全沙箱环境,用于分析检索的文件。
任务管理
内部应用程序提供任务管理功能,供领导(上级)创建、审查、批准、(重新)分配、评论和分发任务给操作员。以下是创建任务页面的截图,包含以下输入字段:任务名称、描述、任务持续时间、任务模板、团队(每个城市可以有多个团队)、分配的服务器:
下一张截图是任务详情仪表板,顶部包含以下标签:任务信息标签、笔记标签、文件管理标签、漏洞标签、访问权限标签、服务器标签。然而,此页面上的数据是模拟数据以演示产品:
任务可以由上级批准或拒绝,并可以分配给不同城市的不同团队执行:
该平台还包含评分管理功能,可以为每个完成的任务授予积分,并显示每个操作员获得的积分以供绩效审查之用。
仪表板还可以向领导提供关于操作员专业领域和分配给每个任务的资源的统计数据和分