“安全研究员确认2017年影子经纪人泄露中提到的新的APT组”

网络战争与网络安全的未来

当今安全威胁的范围和严重性不断扩大。 如果新闻安全得不到妥善解决，现在可能有几百万到几十亿美元的风险。

多读书

三年八天前，即去年4月14日，一群被称为影子经纪人的神秘黑客出版了黑客工具，最终永远改变了网络。

这本被称为《翻译失传》的文件集包括数十个黑客工具和被美国国家安全局( nsa )窃取的漏洞，很多人认为美国是用来攻击其他国家的。

今天，三年后，泄密中最有名的文件，从来都是eternalblue，这是wannacry的核心，不是petya赎金爆炸的核心。

但是，虽然eternalblue是影子经纪人泄露中最容易识别的名字，但一个文件却在其他文件上陷入困境，吸引着网络安全社区。

这个文件名是sigs.py，是很多人认为的网络间谍行动和威胁信息的宝库。

该文件被视为简单的恶意软件扫描仪，国安局的运营商被放置在被黑客攻击的计算机上，用于搜索其他apts的存在(用于描述高级、持久的威胁、国家黑客团体的术语)。

包含44个签名，用于检测其他黑客团体引入的文件(黑客工具)，编号从#1到#45，没有#42。

这份文件立即吸引了安全研究者。 许多人注意到，就像国家安全局在sigs.py文件中记载的那样，他们甚至无法接近检测到了多少个apts。

到目前为止三年后，sigs.py文件的15个签名尚未归属，表明与今天的多家网络安全提供商相比，NSA对外国黑客行为有着出色的发现内力。

根据我的笔记，还没有处理的是sig3、sig6、sig11、sig14、sig19、sig21、sig24、sig26、sig29、sig31、sig32、sig33、sig34 最后要处理的是sig27，也就是黑暗宇宙/国际杜克。

但是今天，在opcde虚拟互联网安全峰会上的演讲中，一位安全研究人员发现了一个坐在签名#37后面的新apt。

更确切地说，研究者纠正了错误的签名#37铁虎、可疑的中国联系的网络间谍组织。

在crysys的报告书上签名#37，现在被认为是对铁虎apt的错误的原因

卡巴斯基和谷歌的前安全研究者粉丝？ 安德烈斯？ 格雷罗？ 萨德( juan andres guerrero-saade )表示，在识别与该签名相关的文件后，签名#37实际上是为了完全追踪新的黑客集团，有可能总部设在伊朗。

格雷罗萨德表示，迄今为止，该团体的活动与公开报道的团体没有任何关系，可以追溯到2008年，但该团体在年至年之间似乎更加活跃。

他的研究者根据在恶意软件中发现的字符串给这个新小组，nazarapt命名。

格雷罗萨德说，(在匿名来源的帮助下)仍然可以识别感染恶意软件且与签名#37一致的受害者。 他说受害者在伊朗。

格雷罗萨德今天在直播中说:“我之所以感兴趣，是因为恶意软件太旧了。 那是因为与旧版本的windows、windowsxp、down相比，受害者依然在伊朗寻找这个。”

“每当人们说起伊朗是攻击者，我就会开始想到西方的受害者[.]，每当想到伊朗的目标，我就倾向于想到西方的apt。

“在这种特殊情况下，如果以所有属性指标为面值，对于伊朗可能出现的一系列比较看起来像伊朗受害者的活动，这种整体看法不一致。

格雷罗萨德将于本周晚些时候在他的个人博客上发表关于纳扎尔特apt的更深入的报告。

在网络安全专家中，寻找nsasigs.py文件中记载的其他15个apts的事业还在继续。