一、概述

2018年6月1日，Recorded Future的Insikt团队在监控暗网上犯罪行为者活动时，发现了一起试图出售被认为是美国空军高度敏感文件的行为。具体而言，一名讲英语的黑客声称可以访问与MQ-9 Reaper无人机（UAV）有关的出口控制文件。Insikt分析人员联系了黑客并确认了文件的有效性。Insikt Group确认了与此事件有关的组织及攻击者的姓名和居住国。客户可以通过Insikt的博客获取此分析。我们将继续协助执法部门进行调查。

二、关键判决

· RecordedFuture确认一个新注册的黑客论坛成员，试图出售有关美国军用MQ-9 Reaper无人机的高度敏感文件。

· 在第一起事件发生后，攻击者承认另一起涉及来自一名身份不明军官的大量军事文件的泄露行为。

· 这些文件包含第二个数据集，包括M1 Abrams维护手册，坦克排培训课程，船员生存课程和简易爆炸装置（IED）缓解策略文件。

· Insikt Group分析人员了解到，攻击者使用了一种众所周知的策略来访问Netgear路由器，该路由器存在未正确地设置FTP登录凭据漏洞。

攻击者在Recorded Future中的活动时间表

三、背景

MQ-9 Reaper由General Atomics制造，被认为是过去二十年来最先进、最致命的军事技术之一。根据公开消息来源，Reaper于2001年首次推出，目前被美国空军、美国海军、中央情报局、美国海关和边境保护局、美国宇航局以及其他几个国家的军队使用。

2006年，当时美国空军参谋长T.迈克尔·莫斯利将军说：

有了Reaper，无人机已经从（主要用于在伊拉克自由行动之前的）情报、监视和侦察角色，转变为真正的杀手角色。

被黑客窃取的收割者维护培训文件

四、攻击分析

在暗网上发现出售个人身份信息（PII）、登录凭证、财务信息和医疗记录等敏感数据并不罕见。然而，犯罪黑客窃取并试图在公开市场上出售军事文件的情况极为罕见。

张贴在暗网上的原始广告

在首次广告发布后的几周内，Insikt Group分析人员与黑客建立并维持直接联系，了解到黑客利用Netgear路由器中之前披露的FTP漏洞来获取访问权限。利用Shodan流行的搜索引擎，攻击者们扫描大部分互联网，寻找使用标准端口21的配置错误的路由器，从受感染的机器上劫持所有有价值的文件。

利用上述方法，黑客首先渗透到位于内华达州克里奇空军基地的432d飞机维修中队AMU OIC的机长计算机上，并偷走了敏感文件的缓存，包括收割者维护课程书籍和分配了Reaper AMU的飞行员名单。虽然这些课程本身并不属于机密军事材料，但是如果在对手手中，它们可以为对手提供评估这一最先进飞机的技术能力和弱点的能力。

遭到入侵的机长最近完成了Cyber Awareness Challenge，应该已经了解了防止未经授权访问所需采取的行动。在这种情况下，请设置FTP密码。

Cyber Awareness Challenge完成证书

在为收割者无人机文件做广告后，攻击者又将另一套军用文件出售。不幸的是，这次来源并未透露给Recorded Future。然而，从内容来看，它们似乎是从五角大楼或美国陆军官员那里偷来的。十多种各种培训手册描述了简易爆炸装置失败战术，M1 ABRAMS坦克操作手册，船员训练和生存手册以及坦克排战术。与之前的文件一样，没有一个机密材料，大多数文件只能分发给美国政府机构及其承包商。

IED手册中描述的车队风险缓解程序

在Insikt Group分析人员与攻击者联系期间，攻击者声称在没有找到下一个受害者的期间，他会通过观看来自边境监控摄像机和飞机的敏感现场镜头来娱乐自己。这位攻击者甚至吹嘘要从墨西哥湾Choctawhatchee湾上空飞行的MQ-1“捕食者”中获取镜头。

黑客展示的飞机视频片段的屏幕截图

五、技术分析

2016年初，一些安全研究人员公开宣布，如果未更新默认的FTP身份认证凭据，具有远程访问功能的Netgear路由器容易受到恶意攻击。尽管距漏洞首次曝光已有两年，但问题仍然很普遍。在最近的研究中，Recorded Future确定了超过4,000台存在漏洞的路由器。

Shodan扫描结果确定了超过4,000个可能存在漏洞的系统

正如之前报道的那样，下面描述的步骤足以保护Netgear设备免受恶意攻击。

1.从连接到网络的计算机或无线设备启动Internet浏览器。

2.输入http://www.routerlogin.net或http://www.routerlogin.com，显示登录屏幕。

3.用户名是admin。默认密码为password。但是，为防止未经授权的访问，请确保使用字母、数字和符号的随机组合来更新密码。用户名和密码区分大小写。

4.选择ADVANCED > USB Functions > ReadySHARE Storage。

5.选择FTP。

6.点击Apply。

Netgear FTP凭据设置过程

六、展望

正如目前受感染机器所表明的那样，即使那些熟悉安全实践规定的人也不能免于简单的攻击，从而导致带来可怕的后果。虽然私营企业近年来确实加大了安全保障力度，在基础设施和人力教育方面投入了大量资金，但政府在员工安全培训和国家机密保护方面始终落后。遗憾的是，很少有人了解正确保护无线接入点（WAP）的重要性，更少有人了解使用强密码以及如何发现网络钓鱼电子邮件。

军事反应小组将确定两种泄露行为的确切后果。然而，具有中等技术技能的单一黑客能够在一周的时间内识别出几个易受攻击的军事目标，并泄露高度敏感的信息，这一事实令人感到不安。然而，这也预示着一个拥有卓越技术和庞大财务资源支撑的有组织团队也能够实现这一目标。