美军特战部队首次展示WiFi“网络爆破”新技能;

图片：Tim Beery中士

点评：网络空间已经成为现代战场的重要组成部分，其重要性几乎与物理战场平分秋色。

近日，美国军方证实美国陆军特种部队（又名绿色贝雷帽）在5月举行的“快速反应24”军事演习中首次展示了在前线阵地使用攻击性网络安全工具的能力。

大型军演惊现Wi-Fi“爆破”技术

在瑞典Skillingaryd地区举行的“快速响应24”是北约近年来规模最大的一场军事演习（超过1.7万名美国军人和2.3万名多国军人参加），期间美军特种作战小队首次与颠覆性网络安全技术进行了深度融合训练。

在此次演习中，美军特种作战小队成功使用远程访问设备（RAD）扫描了目标建筑，以识别运行其安全系统的Wi-Fi网络。

特战小队随后破解了WiFi密码，随后对内部网络进行了详细分析，团队在网络中四处移动，关闭闭路电视摄像头，打开安全门，并禁用其他安全系统。

与此同时，另一支特种作战小队则进行了物理渗透行动。通过高空跳伞，并徒步七英里，他们顺利接近目标建筑。由于前一支小队的网络干扰，他们能够轻松进入大楼，并安放信号干扰设备，以清除行动痕迹，随后迅速撤离。

“我们现在可以通过信号设备接入目标的WiFi网络，监控目标的位置和活动。”一位特种部队成员解释道。

“这（RAD）是一种非常实用的工具，它为我们提供了额外的信息视角，让我们能够更清晰地掌握目标情况。”该队员充道。

特战部队的新战场：网络空间

1991年，美国陆军退役上校约翰·柯林斯首次提出了特种作战部队（SOF）的五大核心原则，这些原则不仅明确了特种部队士兵应具备的素质，还为他们如何在战场上取得胜利指明了方向。其中最重要的一条原则便是：“人员比装备更重要”。

然而，尽管自1991年以来特种作战部队的能力已经发生了显著变化，人员依然是核心，但推动特种作战演进的关键力量，却是硬件和技术的不断进步。

随着科技的迅猛发展，特种部队士兵的综合作战能力得到了极大提升。他们不仅擅长海陆空作战，如今还掌握了一个全新技能——网络空间（攻击技术）。

绿色贝雷帽实施网络攻击 来源：Tim Beery中士

美国特战部队在演习中反复训练和掌握攻击性网络安全工具使用技巧，正印证了特种作战部队的第二条核心原则——“质量比数量更重要”。

“在实际作战中，这种技术让我们能够获取以前难以获得的重要情报，”INFIL小队的指挥官表示：“如果我们有明确的作战目标，现在可以通过这种隐秘手段获取关键信息，只要我们执行得当，对方将无法察觉。”

特种作战部队第三条核心原则强调，特种作战部队无法通过大规模生产实现。这些网络入侵技术并非特种部队独有，但将其与高空跳伞、隐秘渗透等特种技能结合，则使得特种作战具备了独一无二的能力。

“我们不仅能实时掌控行动全局，还能与其他小队紧密配合，做到精确执行。”网络小队的一位成员说道。

特种作战部队的第四条核心原则指出，精英部队不是草台班子，无法在紧急时刻临时组建。这也是为什么“快速响应演习”如此重要，它为部队成员提供了在陌生环境中预先磨练技能、验证知识的机会。

特种作战部队第五条核心原则强调，特种部队的成功离不开其他部队的支持。虽然网络入侵和干扰技术并非全新概念，但其不断演进，保持对新技术的了解和掌握至关重要。

“这项能力是我们必须不断训练和更新的，因为它发展得非常快。”网络小队成员说道，“我五年前学习这项技术时，设备和技术与现在相比已经是天壤之别，这领域进步得太快了，几乎像是进入了一个全新的世界。”

尽管网络攻击技术在不断变化，美军特种作战部队的五大核心原则依然不可动摇。网络安全新技能与既有实践相辅相成，推动整个特种作战体系的持续演进。通过在“快速响应24”演习中与瑞典等美国盟友及合作伙伴的协作，美军特种作战部队不仅加强了互操作性，还确保能够迅速应对新兴威胁，并在必要时阻止攻击，维持战略优势。

这一切都表明，特种作战的未来，不仅在于强大的硬件支持，更在于通过反复训练和团队协作，不断提升综合作战能力。

利用屏幕截图窃取秘钥，这个恶意软件受黑客追捧

一款名为 SpyAgent 的新型安卓恶意软件近期被发现可利用光学字符识别（OCR）技术，从存储在移动设备上的截图中窃取加密货币钱包恢复短语。这种加密货币恢复短语或种子短语通常由 12-24 个单词组成，是加密货币钱包的备份密钥，主要用于丢失设备、数据损坏或希望将钱包转移到新设备时恢复对加密货币钱包及其所有资金的访问。

这类秘密短语深受威胁行为者的追捧，因为一旦他们获取到这些短语，就能在他们自己的设备上还原他人的钱包，并窃取其中存储的所有资金。

由于恢复短语有 12-24 个单词，很难记住，因此加密货币钱包往往会提示人们保存或打印这些单词，并将其存放在安全的地方。为了方便起见，有些人会将恢复短语截图并保存为移动设备的图像。

McAfee发现的一起恶意软件操作至少涉及280个在谷歌Play商店之外分发的APK。这些APK通过短信或恶意社交媒体帖子传播，能够利用OCR技术从Android设备上存储的图片中恢复加密货币恢复短语，构成重大威胁。

一些 Android 应用程序会伪装成韩国和英国政府服务、约会网站和色情网站。虽然该活动主要针对韩国，但 McAfee 已观察到其暂时扩展到英国，并有迹象表明 iOS 变种可能正在早期开发中。

SpyAgent恶意软件活动时间表，来源：McAfee

2023 年 7 月，趋势科技揭露了两个名为 CherryBlos 和 FakeTrade 的安卓恶意软件家族，它们通过 Google Play 传播，也使用 OCR 从提取的图像中窃取加密货币数据，因此这种策略似乎正受到越来越多的关注。

SpyAgent 数据提取

一旦感染新设备，SpyAgent 就会开始向其指挥和控制 (C2) 服务器发送以下敏感信息：

• 受害者的联系人列表，可能是为了通过来自可信联系人的短信传播恶意软件。

• 收到的短信，包括包含一次性密码 (OTP) 的短信。

• 存储在设备上用于 OCR 扫描的图像。

• 通用设备信息，可能用于优化攻击。

SpyAgent 还可以接收来自 C2 的命令，以更改声音设置或发送短信，这些命令很可能用于发送钓鱼短信以传播恶意软件。

C2 服务器上的 OCR 扫描结果，来源：McAfee

暴露的基础设施

McAfee 发现，SpyAgent 行动的运营者在配置服务器时没有遵循正确的安全做法，这才导致研究人员能够轻易访问服务器、管理员面板页面以及从受害者那里窃取的文件和数据。

攻击者的控制面板，来源：McAfee

被盗图像会在服务器端进行处理和 OCR 扫描，然后在管理面板上进行相应整理，以便于管理和立即用于钱包劫持攻击。

执行图像 OCR 扫描的代码，来源：McAfee

如果想降低安卓系统受到此类攻击的风险，那就不要在 Google Play 以外的渠道下载安装安卓应用程序，因为那些非官方渠道是恶意软件传播的主要途径。

也不要理会那些链接到 APK 下载 URL 的短信，并始终关闭与应用程序核心功能无关的危险权限。另外，定期进行 Google Play Protect 扫描，以检查是否有被检测为恶意软件的应用程序也是十分必要的。

文章来源 ：GoUpSec/freebuf

精彩推荐

乘风破浪|华盟信安线下网络安全就业班招生中！

【Web精英班·开班】HW加油站，快来充电！

‍

‍

始于猎艳，终于诈骗！带你了解“约炮”APP

‍