病毒發現
人們發現了一個至少隱匿了五年之久的國際網路間諜組織,他們以各國政府、外交使館、能源公司等機構為目標,不斷竊取大量高級機密信息。該間諜活動命名為“紅色十月”,其靈感來自於湯姆克蘭西的暢銷小說《獵殺紅色十月》中的同名隱形核潛艇。
“紅色十月”攻擊的基礎是一系列的釣魚式攻擊,間諜組織向特定人物推送精心設計的惡意郵件,利用郵件中附帶的惡意及“正常”的Office檔案展開進一步的攻擊,其過程大致如下:
·毫無戒心的用戶收到一封帶有Office附屬檔案的電子郵件,並且打開附屬檔案中“正常”檔案;
·用戶並不知道自己其實開啟了兩個檔案
·“正常”的Office檔案會突然崩潰並退出,當用戶重啟後被提醒是否恢復檔案,一旦用戶點擊恢復,惡意檔案就被很自然地注入並潛伏到Office的系統組件中。
同時,“紅色十月”組織還推送基於Java的魚叉式釣魚郵件。用戶一旦開啟郵件,就會從附帶的連結自動下載惡意的Java Applet包。
Websense的威脅搜尋網路(ThreatScope Network)可深度分析郵件中嵌入式的檔案,一旦發現是惡意軟體即將其攔截,從而保證客戶的網路安全。與“紅色十月”攻擊相關的所有IP位址及域名均被Websense歸類為“殭屍網路”,具體的分析報告自己可以上網查找。
此外,相關報導稱 “紅色十月”的釣魚式攻擊利用到如下四個漏洞:CVE-2009-3129 Excel、CVE-2010-3333 Word、CVE-2012-0158 Word與CVE-2011-3544 Java。 Websense提醒大家及時打好補丁,以備萬全。
與所有深諳社會工程學的組織一樣,“紅色十月”從攻擊目標的興趣愛好和行為習慣上深度剖析,精心布局,以提高攻擊的成功率。面對這類強針對性的攻擊,人們一定要對來歷不明的電子郵件保持警覺,不要輕易閱讀帶有連結與附屬檔案的可疑郵件。
Websense的高級分類引擎 (ACE)可為客戶提供可靠的保護,其安全實驗室仍將密切關注“紅色十月”及其它不斷演化的各類安全威脅。
能潛伏到電腦的系統組件中 能竊取手機、隨身碟已刪除數據
病毒
根據“卡巴斯基實驗室”發布的獨家安全分析報告顯示,“紅色十月”病毒的攻擊目標都是政府以及相關機構電腦,而且這些老練的黑客主要來自於東歐國家(特別是前蘇聯共和國)和中亞國家,部分黑客分布在西歐和北美地區。
“紅色十月”病毒已經為人們熟知。但是為何在過去的五年時間裡一直未被發現呢?病毒郵件感染電腦
首先,“紅色十月”病毒有針對性嵌入到一些特定電腦中,並沒有大規模的感染,因此很少受到人們注意。此外,這種病毒使用的是一種叫做“釣魚式攻擊”的手法。據悉,“紅色十月”病毒往往向特定人物推送精心設計的惡意郵件,利用郵件中附帶的惡意外掛程式以及“正常”的Office檔案展開進一步的攻擊,其過程大致如下:
毫無戒心的用戶收到一封帶有Office附屬檔案的電子郵件,並且打開附屬檔案;然而用戶並不知道自己其實開啟了兩個檔案:一個“正常”的Word或Excel檔案與一個偽裝成恢復文檔的惡意檔案。
此後,“正常”的Office檔案會突然崩潰並退出,用戶重啟後被提醒是否恢復檔案,一旦用戶習以為常地點擊恢復,惡意檔案就注入並潛伏到Office的系統組件中。
復活模組
而這種惡意程式的不尋常之處是獨特的“復活模組”,該模組能隱藏在Adobe Reader和Office組件中。即使病毒被發現病情被移除,黑客仍可藉由“復活模組”再度入侵。
激活後的病毒從內部映射整個網路,然後存儲和加密的信息,並通過網際網路聯繫上層控制電腦。而病毒竊取的東西取決於它的發現:密碼、地址、日曆、文本、表格和電腦呼叫列表等等。
除了從網路、桌上型電腦收集信息並從事間諜活動,“紅色十月”還可以從諾基亞公司和蘋果公司生產的智慧型手機上收集信息,甚至可以從主人已經刪除的記錄中複製出原來的信息。此外,只要連上USB快閃記憶體,它還能複製USB快閃記憶體上的數據,雖然電腦的使用者以為這些數據已經被刪除。
加密軟體
此外,“紅色十月”病毒還緊盯專門為機密檔案提供加密服務的“Cryptofiler”軟體。據稱,“Cryptofiler”這種軟體廣泛套用於歐盟和北約組織。而為了解密這些檔案,“紅色十月”病毒還可以記錄“鍵盤鍵入”。
在獲取了機密數據之後,“紅色十月”病毒會將他們壓縮上傳至分布在全球各地的60個伺服器,其中有些是在德國。這些伺服器又與“母船”——一個能夠控制病毒的電腦代理系統相聯繫。“整個事情的結構就像一個洋蔥皮”。
卡巴斯基在報告中稱:“在五年的跟蹤調查中,這些病毒基本上都能避開大多數防毒軟體的掃描,然後繼續向其他的電腦滲透,至今可能已經竊取了數千TB的情報。”
代碼多用俄語
襲擊者來自俄語國家?
“卡巴斯基實驗室”反病毒首席專家維塔利·卡姆柳科承認,這是他們首次破獲如此規模的間諜病毒。病毒專家們正試圖弄清誰是網路間諜病毒的幕後操縱者。
該公司強調,他們沒有發現“紅色十月”與某一政府有著直接的聯繫,更像是一些隱秘的私人黑客組織的“傑作”,但同時指出一些國家情治單位完全有可能成為這些信息的客戶。
在病毒專家的分析中,“紅色十月”病毒的代碼中有俄羅斯俚語,如zakladka(漏洞)和proga(程式)時常在代碼中出現。
位於莫斯科的安全公司IB的工作人員謝爾蓋·尼基丁認為,這也許說明病毒背後的黑客是在俄語地區的某個地方,而且他們之間還經常聯繫。
而病毒的編程風格也不一致,其中不同的模組只是拼湊在一起,因此,該病毒也是“委託服務”——某個情治單位通過俄羅斯黑客社區聘請程式設計師工作。
這樣的情況出現在俄羅斯並不奇怪。有許多獨立的“網路戰士”願意出售他們的服務——這個國家雖然提供了良好的技術培訓機會,但是政府以及研究機構的工資卻“慘不忍睹”,因此一些人只得尋求其他收入來源。俄羅斯內政部估計,參與全球網路犯罪的個人中,俄羅斯人約占30%。
卡姆柳科說:“這完全有可能是個商業性公司,收集並高價出售這些信息,客戶也有可能是某些政府部門。今天有許多公司從事類似的信息收集程式的研發工作。當然,它們的客戶有可能是情報部門,有可能是某些國家機構。