EyePyramid:逍遥自在的恶意软件

我们在Kaspersky Daily上讨论恶意软件时(我们经常这样做),通常会根据我们的数据,选择影响到很多人的那种恶意软件。比如攻击了世界各地数以百万计用户的CryptXXX、TeslaCrypt及其他臭名昭著的恶意软件。只检测到的若干次的恶意软件通常不会太加以关注。今天我们要谈论的恶意软件是EyePyramid。

我们在Kaspersky Daily上讨论恶意软件时(我们经常这样做),通常会根据我们的数据,选择影响到很多人的那种恶意软件。比如攻击了世界各地数以百万计用户的CryptXXX、TeslaCrypt及其他臭名昭著的恶意软件。只检测到的若干次的恶意软件通常不会太加以关注。世界上有大量的恶意软件,你知道的,我们不可能在一篇文章中一一讨论。

但凡事皆有例外。今天我们要谈论的恶意软件是EyePyramid。别想当然,这个名字可不是我们起的;而是作者的创意。我们之所以要讨论EyePyramid的原因是,它在同类软件中表现突出,整个案例有点像童话故事:一个小个子男人取得了伟大的成就(然而以失败告终)。

从事间谍活动的意大利家庭

首先,EyePyramid基本上算是一个家庭业务。恶意软件本身是45岁的意大利人Giulio Occhionero开发的。他持有核工程学位。他和姐姐Francesca Maria Occhionero(48岁)联手传播了这款恶意软件。他们在一家规模很小的投资公司Westland Investments工作。

根据意大利警方最近发布的报告,EyePyramid通过鱼叉式网络钓鱼进行分发,目标大多针对意大利政府人员以及共济会、律师事务所、咨询服务公司和大学成员,甚至包括梵蒂冈枢机主教。

目的是什么呢?这款恶意软件一旦安装后,会立即授予其作者访问权限,用于访问受害者计算机上的所有资源。它的唯一用途是收集信息,正如《SC Magazine》中指出的,据报告收集的这些信息随后被用于进行更赚钱的投资。这款恶意软件被用作分析师工具。我个人并不十分清楚投资和枢机主教有什么联系,但似乎犯罪分子相当清楚。

一方面受害者的身份比较高,另一方面意大利警方也未透露EyePyramid的细节情况,而只是公布了指挥控制(C&C)服务器的地址和若干电子邮件,这引起了我们GReAT专家的注意。所以他们决定自行调查。

菜鸟网络犯罪

一些媒体坚持认为EyePyramid很复杂、尖端。但其实并不是这样。事实上这只是一款非常简单的恶意软件

根据警方报告中的信息,我们的分析师找到了多达44种EyePyramid样本,这为我们理解整个故事增加了很多的线索。一些媒体坚持认为EyePyramid很复杂、尖端。但其实并不是这样。事实上这只是一款非常简单的恶意软件。这两位犯罪分子采用的是非常直接的办法,比如用多个空格来掩盖含有恶意软件的可执行文件扩展名。这个把戏看似简单,却非常有效。

此外还发现,Occhioneros从事网络犯罪活动的时间相当长了 - 我们能够找到的最早的样本是在2010年。意大利官员称,这两名犯罪分子可能从2008年开始就在从事网络犯罪活动了。

这两人只是网络犯罪领域的业余爱好者,因此在保持操作安全性方面疏于防范。事实上,他们基本上对安全毫不在意,经常用电话(正如你所知道的,执法机构可以轻松窃听到这些内容)和WhatsApp(直到今年才采用了端到端加密)讨论被攻击对象,还留下了与其工作公司关联的IP地址的痕迹。

尽管如此,据意大利警方估计,他们也至少为所欲为了三年,甚至有可能超过八年。目标受害者达到16,000人,成功取得受害者计算机访问权限的次数达100多次。这些行动让他们获取了大量的信息 - 数亿字节的数据,很可能帮助他们改善了投资。

故事结局

这个案例再次肯定了投资教育(本案中是指学习操作安全性)能赚更多钱的理论。。1月10日,美国联邦调查局(FBI)逮捕了Giulio和Francesca Maria Occhionero,所以这款菜鸟恶意软件耀武扬威的日子结束了。

这款恶意软件能横行这么长时间乍一看很令人吃惊,但也许秘密就在于它非常简单,看上去实在没劲,因此未得到彻底调查。据卡巴斯基安全网络显示,尝试感染的次数只有92次,这和流行的勒索软件尝试感染次数相比,简直是沧海一粟。但不管怎样,罪犯被关进了监狱,天下太平了。

什么是私密即时通信工具?

到底什么是私密即时通信工具呢?许多人会说,如果即时通信应用对传递的消息加密,就是私密即时通信工具。在混沌通信大会上,Roland Schilling和Frieder Steinmetz发表了一个演讲,在演讲中他们用简单的语言解释了什么是私密即时通信工具,即时通信应用程序必须具备哪些特征才能被视为是私密即时通信工具。

提示