趋势网(微博)讯:
2岁男童下楼买糖时被人拐走 无锡工艺职业技术学院捅人事件 黑龙江老虎进村猛撞门 有人手被咬烂 已确认超40只宠物狗疑似中毒死亡 百雀羚化妆品疑似涉嫌添加禁用原料
(图为Mask的受害者数量,地区分布)
近日,有研究人员称,他们发现了一个至少能追溯到2007年的大规模恶意软件袭击,这次袭击运行在Windows,Mac OS X和Linux系统中,而其受害者至少有380人分布在31个国家,研究人员把此次发现定义为迄今为止发现的最复杂的由恶意软件驱动的间谍活动。
“Mask”,这个由在恶意软件样本中发现的文本字符串命名的袭击活动,其获取信息的手段多种多样,包括了从被害者计算机中窃取加密密钥,key strokes,Skype通话信息,以及其他类型的重要数据。也有证据表明,这个讲西班牙语攻击者的恶意软件在苹果的iOS和谷歌的Android移动操作系统中都有运行。
受害者包括政府机构,大使馆,研究机构,私募股权投资公司,活动家,能源公司等。Mask的复杂性使得是,在卡巴斯基实验室的研究人员表示,总部位于莫斯科的安全公司发现Mask之所以如此复杂,很可能在其背后令藏玄机,策划这场袭击的人很有可能是一个国家,而不单单是个人所为。
卡巴斯基的实验室经研究发现,Mask的另外一个名字叫Careto(源代码中的西班牙文名字),其很可能与其他由国家支持的恶意软件活动有关,这些袭击活动包括Stuxnet, Flame, Duqu, Red October, Icefog和Gauss。
这次袭击并不像那些机会主义分子所为,因为他们的目标并不是个人的钱财,他们的作案工具也并不是一台连着网的电脑,这些所谓的"高级持续性威胁" (APTs)来的要更有目的性:这次的袭击完全是为那些拥有独一无二数据或职能,与国家战略或商业重要信息有关的特定的人或机构量身定制的。
卡巴斯基实验室的研究人员在这周一公布的详细分析中写到:“Careto作为一个持续了5年多而未被发现的复杂网络间谍活动,其复杂性早已超越了Duqu, Gauss, RedOctober和Icefog,它将成为我们观察到的最复杂的APT。”
袭击者依靠极具针对性的钓鱼电子邮件引诱目标个体到恶意网站,在某些情况下,袭击者会冒充知名网站,如卫报和华盛顿邮报的旗下网站。最近袭击者利用漏洞进行攻击的目标是CVE-2012-0773,这是一个在Adobe的Flash播放器上的漏洞,它可以使袭击者绕过沙箱对于谷歌Chrome和其他浏览器的安全保护,在网站上向终端用户传输恶意代码,从而窃取受害者电脑中的重要信息。
究竟是什么让Mask如此强悍?研究人员介绍,Mask的复杂性来自于袭击者所使用的工具集,在这个工具集里包括一个极其复杂的恶意软件,一个隐匿程式,一个bootkit病毒和各种主流操作系统版本如32和64位的Windows版,Mac OS X和Linux版,甚至有智能手机操作系统Android和iOS版。
卡巴斯基研究人员注意到,之所以检测不到Mask是因为Mask利用了旧版本卡巴斯基防病毒产品的一个漏洞,通过这个漏洞Mask可以隐藏自己。根据卡巴斯基的记录,该漏洞曾被修正,不过袭击者依然可以对那些运行老版软件的电脑进行攻击。
目前,研究人员已经能够控制一些被感染计算机报告的域名或IP地址,他们一共检测到了来自于31个国家的1,000个不同的IP地址,与此同时,他们还发现了由Mask命名约定指定的380名不同受害者的标识符,而Mask也在上周被发现并在博文中被曝光后的数小时内就突然中止运行了。
卡巴斯基分析师最后总结道:“对于Careto ,我们发现其背后操控者的专业度相当之高,因为他们的实时监控,再被曝光之后的快速反应和极高的的隐秘性都显示出这绝非一般的APT案件,肯定是精英所为,希望能尽快迎来事件水落石出的那一天。”