网络间谍

DeathStalker组织以小型企业及其商业机密信息为目标。

我们常常建议安卓用户只从官方应用商店下载app。比如Google Play里的所有app在最终发布前均经过严格的多级审查，因此在Google Play中搜寻app安全得多。

Turla APT黑客小组（又称”Snake”和”Uroboros”）被誉为全球最高级的网络威胁者。在8年多的时间里，这一网络间谍小组在互联网上兴风作浪、为所欲为，但直到我们去年出版《Epic Turla research》之后，其黑客活动才为普通大众所知晓。 我们在研究中尤其发现了一些语言痕迹的案例，表明Turla小组的一部分成员来自俄罗斯。这些人采用常用于补充斯拉夫字符的1251代码页，里面像’Zagruzchik’这个词在俄语中表示”引导装在程序”的意思。 Turla黑客小组之所以特别危险且难以抓到的原因不仅仅是因为使用了复杂的黑客工具，而是在最后攻击阶段实施了精密的基于卫星的命令与控制（C&C）机制。 命令与控制服务器是高级网络攻击的基础。同时，这也是恶意基础设施中最薄弱的一环，因此往往会成为数字调查者和执法机构的首要打击目标。 主要有两个原因。首先，这些服务器被用来控制所有的操作。一旦成功将其关闭，就能扰乱甚至完全破坏网络间谍活动。其次，C&C服务器可以用来追踪网络攻击者的实际所在位置。 这也是为什么这些网络威胁者总是不遗余力将自己C&C服务器隐藏得尽可能深。Turla黑客小组也找到了颇为有效的隐藏方法：在空中取消服务器IP。 使用最广泛且最廉价的基于卫星的网络连接类型之一就是只使用下行连接。在这里，来自用户电脑的数据通过常规线路—宽带线或蜂窝网络传送—而所有输入流量则来自卫星。 然而，这一技术也有缺陷性：所有从卫星发送到电脑的下行流量均未加密。简而言之，任何人都可以拦截这些流量。Turla小组利用这一漏洞想出了一个有趣方法：隐藏他们自己的C&C流量。 具体操作步骤如下： 他们监听来自卫星的下行流量以发现活跃的IP地址，而这些地址必须属于此刻在线的基于卫星的网络用户。 随后他们选择一定数量当前活跃的IP地址，在合法用户不知道的情况下隐藏C&C服务器。 被Turla用病毒感染的机器将会按照指令向被挑选的IP地址发送所有数据。数据通过常规线路发送至卫星，并最终从卫星传送到IP被挑选到的用户。 这些数据会被合法用户的电脑当做垃圾清除，而这些网络威胁者则从下行卫星连接获取这些数据。 由于卫星下行覆盖区域极大，因此根本无法准确追踪到这些网络威胁者接收器的实际位置。此外，Turla黑客小组还倾向于对位于中东和非洲国家（例如：刚果、黎巴嫩、利比亚、尼日尔、尼日利亚、索马里或阿联酋）的卫星网络提供商实施漏洞利用，因此要想抓到他们更是难上加难。 由于这些国家运营商所用的卫星通讯信号束无法覆盖欧洲和北美地区，这对大多数安全研究专家研究此类攻击造成极大的困难。 Turla黑客小组实施的一系列网络攻击至今已感染了超过45个国家（包括：哈萨克斯坦、俄罗斯、中国、越南和美国）的数百台计算机。Turla黑客小组无论是对政府机构和大使馆还是军事、教育和研究机构以及制药公司均十分感兴趣。 坏消息就说到这里。对我们用户而言，好消息是卡巴斯基实验室产品成功检测并阻止了Turla网络威胁者所使用的恶意软件。  

卡巴斯基GReAT团队于近期发布了针对Equation网络间谍小组活动的研究报告，其中揭示了大量所谓的”技术奇迹”。该历史悠久且技术强大的黑客小组开了一系列复杂的”可植入”恶意软件，但其中最有趣的发现是该恶意软件能够对受害人的硬盘进行重新编程，进而隐藏这些”植入病毒”因此几乎”坚不可摧”。 作为计算机安全领域期待已久的”恐怖故事”之一 –永远存在于计算机硬盘且无法被清除的病毒数十年来被认为是一段”都市传奇”，但似乎人们花费了数百万美元只是为了将其变为现实。有些新闻报道煞有其事地宣称Equation黑客小组所开的这一恶意软件能让网络黑客”窃听全球大多数计算机”。然而，我们只是想尽可能地还原事实的真相。所谓能够”窃听全球大多数计算机“就像熊猫能在马路上走路一样不现实。 首先，让我们解释一下什么是”对硬盘固件重新编程”。通常一块硬盘由两个重要部件组成–存储介质（传统硬盘使用磁盘，而固态硬盘则采用闪存芯片）和微芯片，而后者则真正控制对硬盘的读写以及许多服务程序，例如：错误检测和修正。由于这些服务程序数量众多且相当复杂，因此从技术上说，一块芯片就好比是一台小型计算机，用于处理各种复杂的程序。芯片的程序被称为固件，而硬盘供应商可能不时需要对其进行升级更新：修正已发现的错误或改善性能。 而这一机制恰恰被Equation黑客小组所滥用，从而能够将其自己的固件下载到12种不同类型（按不同供应商/差异区分）的硬盘。修改后固件的功能依然不得而知，但因此计算机上的恶意软件却获得了在硬盘特定区域读写数据的能力。我们只能假设这一区域完全对操作系统甚至特定合法软件隐藏。而这一区域的数据即使硬盘格式化后也依然可能幸存，并且从理论上说固件能通过从一开始感染新安装的操作系统进而对硬盘引导区进行再感染。为了简化之后的工作，固件都是依靠自身检查和重新编程，因此就无法检验固件完整性或可靠地将固件重新上传至计算机。换句话说，受感染的硬盘固件根本无法被检测出，因此也就”坚不可摧”了。最简单和省钱的办法是将可能被感染的硬盘丢弃，重新买块新的。 但是，不用急着去找螺丝刀–我们并不认为这一终极感染能力会成为主流。就算Equation黑客小组可能也只用过几次而已，因此受害人系统存在硬盘感染模块的情况依然屈指可数。首先，对硬盘重新编程相比写入而言要复杂得多，可以将Windows软件作为例子。每一块硬盘的模块都是独一无二且造价相当昂贵，此外要编写出一个替代的固件也需要耗费相当长的时间和精力。黑客首先必须得到硬盘供应商的内部文档（几乎不可能），购买一些同一型号的硬盘，编写和测试所需的功能并将恶意程序植入现有固件，与此同时还需要保持其原先的功能。这是一个浩大的工程，需要花费数月进行研发并投入数百万美元的资金。因此在一些用于犯罪的恶意软件或大部分的有针对性攻击中，几乎不太可能使用此类隐藏技术。此外，固件开发显然只能小范围进行，无法简单地大规模进行。许多硬盘厂商每月都会针对多款硬盘发布固件，新型号产品也层出不穷，因此要黑客入侵每一款型号的固件对于Equation以及其他所有黑客小组而言几乎不可能实现（也没有这个必要）。 因此，真实的情况是–感染硬盘恶意软件不再是传奇了，但对于大多数用户而言不存在任何风险。千万不要轻易丢弃自己的硬盘，除非你是在伊朗的核工业工作。但却需要对一些我们已老生常谈的风险多加注意，比如因密码薄弱或反病毒软件长久未更新而导致黑客入侵。