卡巴斯基实验室安全专家总结认为,由国家和政府支持的网络间谍攻击行动变得越来越复杂,攻击者利用复杂的、模块化工具针对精心挑选的用户发动攻击
卡巴斯基实验室安全专家总结认为,由国家和政府支持的网络间谍攻击行动变得越来越复杂,攻击者利用复杂的、模块化工具针对精心挑选的用户发动攻击。同时,还能够利用先进的技术躲避有效的检测系统。
卡巴斯基实验室在对EquationDrug网络间谍平台的详细分析中,验证了上述最新趋势。卡巴斯基实验室安全专家发现,随着安全行业在揭露高级可持续性威胁(APT)组织方面取得越来越多的成绩,很多非常复杂的攻击者开始注重于增加恶意平台的模块数量,从而减少恶意工具的可见性,提高其隐蔽性。
现在,最新的攻击平台包括很多插件模块,可以根据攻击目标和目标信息,选择和执行多种不同的功能。卡巴斯基实验室预计EuqationDrug包含116种不同的插件。
“得到政府支持的攻击者试图创造一种更为稳定、隐身、可靠和通用的网络间谍工具。他们致力于创造一种能够包含这类代码的架构,并且可以在实时系统上进行定制,提供一种可靠的以加密形式存储组件和数据的手段,而不同用户则无法访问其中的数据,”卡巴斯基实验室全球研究和分析团队总监Costin Raiu解释说。“这一架构的复杂性使得其同传统的网络罪犯区别开来,因为传统的网络罪犯注重于开发能够直接获取经济利益的恶意功能。”
这类得到国家和政府支持的攻击者所使用的攻击策略同传统网络罪犯也不相同,其中包括:
- 攻击规模:传统的网络罪犯会大规模地传播包含恶意附件的邮件,或者感染网站。而得到国家和政府支持的攻击者则倾向于进行高度针对性的和精确的攻击,每次攻击仅感染小部分精挑细选的用户。
- 独有的特点:传统的网络罪犯经常会重复使用那些公开的源代码,例如知名的Zeus或Carberp木马。而有国家和政府支持的攻击者通常会打造自己独特的可定制恶意软件,甚至还会在恶意软件中设置限制措施,避免其被解密或在非攻击目标上运行。
- 窃取重要信息:网络罪犯通常会尽可能多得感染用户。但是,他们没有时间和足够的存储空间,对所有受感染计算机进行检查,分析其所有者以及上面存储着什么数据和运行着何种软件。他们会将这些盗取到的数据进行转移,并保存其中具有潜在价值的数据。
- 所以,他们会在恶意软件中植入多种盗号程序,仅窃取重要的数据,如账号密码和信用卡信息。但是,这类行为很容易引起用户计算机上所安装的安全软件的注意。
- 另一方面,得到国家和政府支持的攻击者具有足够的资源,能够存储任意多的数据。为了保持低调,不被安全软件所注意,他们会尽量避免感染随机用户,而是依靠通用的远程系统管理工具,从受感染计算机上拷贝需要的数据。但是,这种大规模的数据传输行为,可能会拖慢网络连接速度,从而引起用户的怀疑。
“对于EquationDrug这种强大的网络间谍平台,并没有在恶意软件的核心集成标准数据窃取功能,看上去似乎很不寻常。其答案往往是攻击者希望能够针对每个不同的受害者定制攻击。只有在攻击者决定对你进行监控,并且确保计算机上的安全软件被关闭后,才会将相关插件上传到你的计算机,实时监控你的对话或监控你的行为。我们认为,模块化和定制性将成为未来国家和政府支持的攻击独有特征,”Costin Raiu总结说。
EquationDrug是Equation网络攻击组织所开发的一款主要的网络间谍攻击平台。这一平台的应用已经超过10年,而且其正在逐步被更改为现金的GrayFish平台所取代。卡巴斯基实验室在针对Careto和Regin以及其他网络间谍攻击行动研究过程中,首先注意到这类攻击的所使用的策略趋势,之后在对EuqationDrug分析中,确认了上述趋势。
卡巴斯基实验室产品能够成功拦截Euqation攻击组织所使用的恶意软件进行的攻击。很多这样的攻击都无法成功感染系统,这归功于卡巴斯基实验室的自动漏洞入侵防护技术。因为其能够检测和拦截恶意软件利用未知漏洞进行攻击。根据推测,Equation平台中所使用的Fanny蠕虫应该编译于2008年7月,而我们的自动漏洞入侵防护系统在2008年12月就第一次检测到该蠕虫,并将其加入了黑名单。
要了解关于EuqationDrug平台的最新研究结果,请访问Securelist.com
