神秘萬能間諜軟件藏身5年之久
責(zé)編:gltian |2019-05-15 15:14:47國家級黑客組織并非隨處可見。配備80種不同組件,擁有各種奇怪而獨(dú)特的網(wǎng)絡(luò)間諜招數(shù),秘密運(yùn)作5年以上的間諜軟件,就更加少見了。
在新加坡舉行的卡巴斯基安全分析師峰會上,卡巴斯基安全研究員 Alexey Shulmin 披露了該安全公司發(fā)現(xiàn)的新間諜軟件框架TajMahal——配備一系列間諜插件的自適應(yīng)模塊化軟件。Shulmin稱,TajMahal框架的80個(gè)模塊不僅包括間諜軟件典型的鍵盤記錄和截屏功能,還包括前所未有的隱秘功能,可以攔截打印隊(duì)列里的文檔,跟蹤感興趣的文件,還能在感染主機(jī)插入U(xiǎn)盤時(shí)自動盜取U盤中感興趣的文檔。且該獨(dú)特的間諜軟件工具包未呈現(xiàn)任何已知民族國家黑客組織的特征。
峰會演講前,Shulmin在答復(fù)媒體郵件采訪時(shí)稱:
如此龐大的模塊集告訴我們,這一高級持續(xù)性威脅(APT)相當(dāng)?shù)膹?fù)雜。TajMahal是一個(gè)技術(shù)上非常先進(jìn)和復(fù)雜的框架,包含大量在其他APT活動中從未見過的有趣功能,極其罕見。再加上其全新的代碼庫——與其他已知APT及惡意軟件毫無代碼相似度,我們認(rèn)為TajMahal是特別而值得關(guān)注的。
去年秋天,卡巴斯基在某中亞國家大使館網(wǎng)絡(luò)中首次發(fā)現(xiàn)TajMahal間諜軟件框架。但從TajMahal的復(fù)雜度判斷,該軟件不可能只部署在這一個(gè)地方。這么巨大的投入,只用在一個(gè)受害者身上太過浪費(fèi)。要么還有未發(fā)現(xiàn)的受害者,要么該惡意軟件還有其他版本,或者兩種情況均存在。
美國國家安全局(NSA)菁英黑客團(tuán)隊(duì) Tailored Access Operations 前成員 Jake Williams 稱,這些初始發(fā)現(xiàn)可能指向某個(gè)非常謹(jǐn)慎而隱秘的國家支持的情報(bào)收集行動。該框架的可擴(kuò)展性需要一支龐大的開發(fā)人員隊(duì)伍加以支撐。其規(guī)避檢測的能力和僅有一家已知受害者的事實(shí)也顯示出,該行動在目標(biāo)選擇上極端謹(jǐn)慎,在操作上非常隱蔽,十分注重行動安全性。
卡巴斯基尚未能通過常見分析方法,比如代碼匹配、共享基礎(chǔ)設(shè)施和相似攻擊技術(shù),將TajMahal與任何已知黑客組織相關(guān)聯(lián)。以中亞國家為目標(biāo)的事實(shí)也對揭示黑客身份沒有太大幫助——因?yàn)樵撁枋鎏^模糊,且既有高級黑客團(tuán)隊(duì),又對中亞感興趣的國家就包括中國、伊朗、俄羅斯和美國等。卡巴斯基還未能明確TajMahal背后的黑客組織是如何獲取目標(biāo)網(wǎng)絡(luò)初始訪問權(quán)的。但卡巴斯基宣稱,該組織在目標(biāo)主機(jī)上植入了初始后門程序——黑客給該后門程序貼的標(biāo)簽是“Tokyo(東京)”。該后門采用了黑客常用的PowerShell工具來擴(kuò)展感染范圍,連接命令與控制服務(wù)器,以及植入更強(qiáng)大的多功能間諜軟件載荷 “Yokohama(橫濱)” 及其數(shù)十個(gè)功能模塊。
“橫濱” 那瑞士軍刀式的通用性引起了卡巴斯基研究人員的重視。在包含國家黑客組織常用的很多強(qiáng)大功能的同時(shí),“橫濱” 還具備一些很特殊的功能:受感染PC上插入U(xiǎn)盤時(shí),該間諜軟件會掃描U盤內(nèi)容并向命令與控制服務(wù)器上傳U盤內(nèi)容清單,供黑客判斷要滲漏哪些文件。如果黑客確定需下載文件清單時(shí)該U盤已移除,TajMahal可自動監(jiān)視USB端口,一旦該U盤插入即開始抽取所需文件并上傳。刻錄到光盤或加入打印機(jī)隊(duì)列的文件也有其他模塊能夠加以標(biāo)記。
雖然這些功能不是那么華麗,但表現(xiàn)出該間諜軟件背后的黑客行事謹(jǐn)慎而注重效率,努力甄別受害主機(jī)上大量內(nèi)容中哪些文件值得盜取。畢竟,不重要的信息也就不會打印出來,存到U盤上,或者刻錄進(jìn)光盤中了。
考慮到其復(fù)雜性和兼包并蓄的各種功能,TajMahal在目標(biāo)系統(tǒng)中潛藏的時(shí)間就特別引人注意了。卡巴斯基稱,至少自2014年開始,該中亞國家大使館就已經(jīng)被入侵了。但其各個(gè)模塊的編譯時(shí)間卻既有2014年前的,也有之后的,有些模塊可追溯到2013年,有些則是2018年才編譯生成的。
無論如何,該間諜軟件框架都潛藏了超過5年以上未被檢測到。至于這是因?yàn)槠浠钴S程度相對不高還是別的什么原因,就是另一個(gè)令人感興趣的問題了。該間諜軟件框架的發(fā)現(xiàn)給網(wǎng)絡(luò)安全社區(qū)提了個(gè)醒:網(wǎng)絡(luò)空間中發(fā)生的所有事情并未真正納入安全社區(qū)的完全監(jiān)控之下。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧