針對數個前蘇聯國家使館的網絡間諜活動
責編:admin |2014-08-18 13:13:24賽門鐵克的安全專家發現一起針對數個前蘇聯國家的使館工作人員的大規模網絡間諜活動。已經檢測到位于法國,比利時,烏克蘭,中國,約旦,希臘,哈薩克斯坦,亞美尼亞,波蘭,德國等超過15個使館都已經成為黑客的目標。
通常看到這種類型的攻擊,第一想法就是背后有國家支持。根據安全專家的調查,攻擊者依然是使用的水坑攻擊。至少有84個使館工作人員常去的網站被攻破,用來實施此次攻擊。在攻擊的第一階段,使用了已知的惡意程序Wipbot(Tavdig)。在后續的滲透中使用了更加復雜的惡意程序(像Turla,Uroboros等)。
Wipbot是13年11月以來十分活躍的一個惡意軟件,曾利用CVE-2013-5065進行傳播。一個典型木馬傳播的過程圖如下:黑掉目標用戶常去的網站,在該網站上誘騙用戶下載假的Shockwave安裝包,用戶執行程序就會感染木馬。然后Wipbot會進行初步的信息收集,作為前期的一個偵查程序。如果該用戶有足夠的價值,接下來就會下載更高級的程序惡意程序Turla等進行進一步滲透。
賽門鐵克的研究人員稱,利用這種木馬組合進行典型的網絡間諜活動至少有四年的歷史了。因為這些攻擊者挑選的目標和使用高級的惡意軟件,賽門鐵克相信有國家級的團體支持這些攻擊活動。一些安全專家相信是美國在支持這些攻擊,但是通過對黑客行動的追蹤發現攻擊來源于UTC +4時區(莫斯科所在的時區)。