沙蟲漏洞為何自毀?揭秘俄羅斯黑客“沙蟲團隊”
責編:admin |2014-10-16 14:15:53沙蟲團隊“自毀”漏洞是不希望其他黑客利用這個漏洞發起類似的攻擊,同時也讓此前的攻擊更加難以追溯。
趨勢科技昨日發布了一個微軟零日漏洞“沙蟲”(CVE-2014-4114)的分析報告(參考閱讀:零日漏洞沙蟲如何進入你的系統),由于“沙蟲”漏洞影響除Windows XP以外(之后)的幾乎所有微軟操作系統,且非常容易利用(藏身常見的PPT文件),屬于高危漏洞,各位可以關注并及時更新微軟昨日放出的安全補丁。
閱后即焚的“沙蟲”
“沙蟲”漏洞的名字來自使用該漏洞的一個俄羅斯黑客團伙——沙蟲團隊。實施攻擊的俄羅斯黑客團伙顯然都是科幻小說《沙丘》的愛好者,因此給自己的團隊取名為“沙蟲團隊”。
其實早在在趨勢科技發布“沙蟲”漏洞報告發布之前的9月份,俄羅斯黑客已經成功利用該漏洞監控烏克蘭政府和北約組織。而且值得注意的是,“沙蟲”漏洞是沙蟲團隊特意趕在微軟每個月的補丁日前最后一刻故意泄露出來的,很明顯,沙蟲團隊“自毀”漏洞是不希望其他黑客利用這個漏洞發起類似的攻擊,同時也讓此前的攻擊更加難以追溯。
可怕的沙蟲漏洞雖然以“自曝”的方式將潛在損害和威脅降至最低,但此次攻擊所呈現出的網絡犯罪(戰爭)新模式和新趨勢卻值得所有信息安全專業人士思索。
正如文章開頭所言,“沙蟲”漏洞利用起來非常簡單,沙蟲團隊通過在魚叉式釣魚郵件附件中的含有利用“沙蟲”漏洞惡意代碼的PPT文件實施攻擊,黑客同時還使用了常見的網絡犯罪惡意軟件工具BlackEnergy來混淆視聽,讓調查者誤以為這是一起平常的DDoS攻擊。
難以追溯的“沙蟲”
iSight安全實驗室的研究報告指出,“沙蟲團隊”實施攻擊的目標主要有五大類:政府、學院、北約、能源機構和電信運營商。據iSight本周二發布的報告,受攻擊對象遍及歐洲甚至美國。(沙蟲漏洞襲擊北約和歐盟Windows系統)
沙蟲的攻擊目標雖然基本明確,但對于所有安全團隊和安全專家來說,查找攻擊源頭才是最困難的工作之一,目前安全專家們還不能確證沙蟲團隊背后有俄羅斯政府的支持,同時由于沙蟲團隊沒有參與地下黑市的信息交易,且竊取的文件目的不明,因此目前尚就其攻擊目的和源頭給出定論。
據iSight的研究,自2009年誕生至今,黑客團隊“沙蟲”已經存在了五年之久。不止一家安全公司都在關注這個黑客團隊。今年9月初,芬蘭安全公司F-Secure曾在一份題為《BlackEnergy+沙蟲,網絡犯罪與APT攻擊的融合》的報告(文章尾部下載報告原文)中給沙蟲團隊冠以“Quedagh”的代號。F-Secure的結論與iSight有所不同,在接受英國衛報采訪時,F-Secure認為沙蟲團隊很可能是數字隱私海盜,平常偷竊信用卡數據發點小財,關鍵時刻也會應招入伍,做點國家黑客的事。