近几年,网络间谍攻击事件时有发生。而背后有国家和政府支持的网络间谍攻击行动更是演变得愈发复杂,其攻击者可利用复杂的模块化工具针对精心挑选的用户发动攻击;同时,还能够利用先进的技术躲避有效的检测系统。卡巴斯基实验室在针对Careto和Regin以及其他网络间谍攻击行动的研究过程中,首先注意到这类攻击所使用的策略趋势,之后又在对EuqationDrug分析中确认了上述最新趋势。
据了解,EquationDrug是Equation网络攻击组织所开发的一款主要的网络间谍攻击平台。这一平台的应用已经超过10年,而且其正在逐步被先进的GrayFish平台所取代。
卡巴斯基实验室安全专家发现,随着安全行业在揭露高级可持续性威胁(APT)组织方面取得越来越多的成绩,很多非常复杂的网络间谍攻击者开始注重增加恶意平台的模块数量,从而减少恶意工具的可见性,提高其隐蔽性。
现在,最新的攻击平台包括很多插件模块,可根据攻击目标和目标信息选择和执行多种不同的功能。卡巴斯基实验室预计EuqationDrug包含116种不同的插件。
卡巴斯基实验室全球研究和分析团队总监CostinRaiu进一步解释说:“得到政府支持的攻击者试图创造一种更为稳定、隐身、可靠和通用的网络间谍工具。他们想要创造一种能够包含这类代码的架构,并且可以在实时系统上进行定制,提供一种可靠的以加密形式存储组件和数据的手段,而不同用户则无法访问其中的数据。这一架构的复杂性使其有别于传统的网络罪犯,因为传统的网络罪犯注重开发能够直接获取经济利益的恶意功能。”
这类背后得到国家和政府支持的攻击者在攻击策略方面不用于传统的网络罪犯。就攻击规模而言,传统的网络罪犯会大规模地传播包含恶意附件的邮件,或者感染网站。而得到国家和政府支持的攻击者则倾向于进行高度针对性的和精确的攻击,每次攻击仅感染小部分精挑细选的用户。
不仅如此,二者所独有的特点也截然不同。传统的网络罪犯经常会重复使用那些公开的源代码,例如知名的Zeus或Carberp木马。而受到国家和政府支持的攻击者通常会打造自己独特的可定制恶意软件,甚至还会在恶意软件中设置限制措施,避免其被解密或在非攻击目标上运行。
此外,二者采取不同的攻击策略实施数据窃取。传统的网络罪犯通常会尽可能多的感染用户。由于他们没有时间和足够的存储空间检查并分析所有受感染的计算机中所存储的数据类型和运行的软件类型,传统的网络罪犯会将这些盗取到的数据进行转移,并保存其中具有潜在价值的数据。因此,他们会在恶意软件中植入多种盗号程序,仅窃取重要的数据,如账号密码和信用卡信息。但是,这类行为很容易引起用户计算机上所安装的安全软件的注意。与之相比,得到国家和政府支持的攻击者则具有足够的资源,能够存储任意多的数据。为了不被安全软件所察觉,他们会尽量避免感染随机用户,而是依靠通用的远程系统管理工具,从受感染计算机上拷贝需要的数据。但是,这种大规模的数据传输行为,可能会拖慢网络连接速度,从而引起用户的怀疑。
CostinRaiu总结说:“虽然EquationDrug这种强大的网络间谍平台并没有在恶意软件的核心集成标准数据窃取功能,这似乎很不寻常。但是,其答案往往是攻击者希望针对不同的受害者定制攻击。只有在攻击者决定监控受害者,并且确保计算机上的安全软件被关闭后,才会将相关插件上传至受害者的计算机,实时监控其对话或行为。我们认为,模块化和定制性将成为未来受到国家和政府支持的攻击的独有特征。”
卡巴斯基实验室针对家庭和企业用户的产品均能成功拦截Euqation组织利用恶意软件进行的攻击。而这主要归功于卡巴斯基实验室的自动漏洞入侵防护技术。该技术能够检测和拦截恶意软件利用未知漏洞进行攻击。根据推测,Equation平台中所使用的Fanny蠕虫应该编译于2008年7月,而卡巴斯基实验室的自动漏洞入侵防护系统早在2008年12月就第一次检测到该蠕虫,并将其加入了黑名单。