间谍软件

8 文章

震网蠕虫:零日漏洞的受害者

就在一年前,有关震网蠕虫病毒的新闻一度占据各大媒体的头版头条位置,也让那些常与信息安全打交道的家伙们感到有些不寒而栗。到底是谁创造了震网蠕虫病毒,创造这一病毒的原因又是什么,到现在依然是个谜。然而,有传言称来自美国和以色列的情报机关想利用这一病毒对伊朗核计划实施破坏活动。这一消息可信度相当高,因为该恶意软件的确有能力让铀浓缩离心机无法正常工作,从而让伊朗核计划推延数年时间。 震网病毒的创造者成功地对未联网且受保护的设备实施攻击,并进行大规模的破坏活动。正如许多专家所监控到的,该病毒随即失控并开始主动地进行自我散播。而由于一开始就将特定类型的工业系统作为攻击目标,因此至少从表面上并未对家庭和企业的电脑造成危害。 首批受害者或’零日漏洞受害者’ Kim Zetter是一名美国新闻记者,她于11月11日出版了一本名为《Countdown to Zero Day》(零日倒计时)的书。从该书中,我们得以有机会向广大公众介绍一些有关震网鲜为人知的真相。我们将不会花费过多篇幅介绍该病毒的早期活动,而将更多注意力放在该病毒的迭代,正是它导致2009-2010年期间轰动一时的大规模病毒感染事件。 我们能够很容易重现这一事件的前后始末,而这正是得益于该恶意软件的一个有趣属性:即自动保存所有曾感染过的计算机历史记录,包括:主机名、域名以及IP地址。尽管这一数据不断更新,但我们依然能够追踪到其最初的记录。 赛门铁克于2011年2月发布了”W32.Stuxnet Dossier”分析报告,其中确定了五家最先遭受震网病毒感染的公司(事实上,其中两家公司在2009年和2010年遭受了两次攻击),但并未公开披露这五家公司的名字。为了确定到底是哪几家公司,我们前后花费总共2年左右的时间对大约2,000份文件进行了分析。 #Stuxnet Zero VictimsThe identity of the companies targeted by the first known cyber-weapon https://t.co/W8PVyGp7b3 pic.twitter.com/BWDkVqWPLq — Dmitry Bestuzhev (@dimitribest)

你的iPhone手机是否已被黑客入侵?

众所周知,超过98%的智能手机恶意软件将安卓系统作为攻击目标。安卓系统之所以成为众矢之的原因在于:其竞争对手苹果iOS系统的用户只能从管理严格的应用商店下载IOS应用,而苹果恰恰在防止恶意软件进入其应用商店方面功能强大。然而,苹果仅仅将注意力放在那些缺乏确切目标,旨在感染所有用户的大众化恶意软件上。如果有人想对你个人进行暗中监控,则情况完全不同。就算你不是什么犯罪分子、有影响力的商业人士又或是什么政治活动家,一样会成为他人监视的目标。可能你会因为一些其他的标准而被列入”可疑”或”引起关注”的名单中,接下来我们将就这一问题展开讨论。因此,某些间谍组织也很可能会感染你的iPhone手机。 在一些国家,其各个政府机构有能力渗透到任何一台被认定可疑的计算机或智能手机,以达到”监控”的目的或收集证据。这些机构通常都是使用所谓的”合法”间谍软件以实现监控。有一些跨国公司专门开发和销售此类软件。在这些公司中,有一家开意大利公司HackingTeam发了远程控制系统(RCS)软件aka Galileo。卡巴斯基实验室长期监控RCS基础设施,并在此前恰巧碰到了来自RCS的Windows恶意软件”植入体”( implants)。从恶意文件中发现众多疑点显示在智能手机上的确存在”植入体”,但我们并没有机会在互联网上直接捕获它。就在最近,卡巴斯基实验室在与来自公民实验室(Citizen Lab)的Marquis-Boire合作研究中发现了恶意软件的最新变异体。这些全新的病毒样本事实上是智能手机木马,能够同时在安卓和iOS系统上运行。 iOS恶意软件 在近期RCS研究中的这一重要新发现是一种用于感染iPhone手机的方法。其感染途径每次都不尽相同,可能会包括社交工程欺诈、漏洞利用以及鱼叉式网络钓鱼等。恶意软件通过潜伏在计算机内,偷偷地开展一些典型的间谍活动,例如按键记录以及在受害人将智能手机联网同步iTunes后进行间谍活动。如果间谍软件操作者想要感染一部智能手机,其内在的木马病毒会偷偷地对联网的iPhone手机进行越狱,随后再安装手机间谍部件。这时候,iPhone会自动重启,而这显然说明你的手机哪里出问题了。每一款恶意软件都相当”狡猾”,它会使用多个逻辑触发以小心进行侦查,例如只有在靠近攻击者特定Wi-Fi网络或在手机充电时才会进行间谍活动。它并不会过于耗电,因为这可能让受害人产生警觉,意识到手机可能出什么问题。 #卡巴斯基实验室发现#间谍#木马病毒,能够同时在#安卓和#IOS系统上运行。 RCS手机木马能够开展你所能想到的各种间谍活动,包括位置报告、拍照以及对短信、WhatsApp和其他即时通讯软件进行监控,当然还有窃取联系人信息等其他间谍行为。 当然,攻击者要想入侵一部特定的iPhone手机,依然还存在一些限制性条件。首先,将入侵的iPhone手机必须运行”能够越狱”的iOS系统版本。对于目前大多数的版本来说,已知的越狱方法都不适用,但一些老的版本则存在漏洞。其次,还需要 iPhone手机在越狱时无密码锁定。然而,同时符合上述两个条件的手机并不在少数,而间谍软件操作者无疑拥有大量在iOS上运行的木马病毒。 受害人 在卡巴斯基实验室和公民实验室合作开展的最新调查显示,受害人名单中包括了一些激进分子和人权拥护者,当然还少不了新闻记者和政界人士。然而,对于某些受害人,其成为目标的原因尚不明了。最明显的一个例子是一名英国普通的中学历史老师也赫然出现在受害人名单之中。 绝大多数已发现的RCS控制服务器架设在美国、哈萨克斯坦、厄瓜多尔、英国以及加拿大。卡巴斯基实验室首席安全研究员Sergey Golovanov这样说道:”在某一国家架设服务器并不表示说这些服务器的使用者是所在国的执法机构。这只能说明RCS使用者将服务器部署在他们能控制的地区—这些地区发生越境法律问题的风险很小且服务器被没收的概率也很低。 保护 为避免感染风险,卡巴斯基实验室的专家们给出了如下建议:第一,不要手机越狱;第二,经常地将你设备上的iOS系统升级到最新版本。此外,在计算机上运行一款强大的安全软件同样能够极大地降低计算机受病毒感染的风险。