神秘萬能間諜軟件藏身5年之久
責編:gltian |2019-05-15 15:14:47國家級黑客組織并非隨處可見。配備80種不同組件,擁有各種奇怪而獨特的網絡間諜招數,秘密運作5年以上的間諜軟件,就更加少見了。
在新加坡舉行的卡巴斯基安全分析師峰會上,卡巴斯基安全研究員 Alexey Shulmin 披露了該安全公司發現的新間諜軟件框架TajMahal——配備一系列間諜插件的自適應模塊化軟件。Shulmin稱,TajMahal框架的80個模塊不僅包括間諜軟件典型的鍵盤記錄和截屏功能,還包括前所未有的隱秘功能,可以攔截打印隊列里的文檔,跟蹤感興趣的文件,還能在感染主機插入U盤時自動盜取U盤中感興趣的文檔。且該獨特的間諜軟件工具包未呈現任何已知民族國家黑客組織的特征。
峰會演講前,Shulmin在答復媒體郵件采訪時稱:
如此龐大的模塊集告訴我們,這一高級持續性威脅(APT)相當的復雜。TajMahal是一個技術上非常先進和復雜的框架,包含大量在其他APT活動中從未見過的有趣功能,極其罕見。再加上其全新的代碼庫——與其他已知APT及惡意軟件毫無代碼相似度,我們認為TajMahal是特別而值得關注的。
去年秋天,卡巴斯基在某中亞國家大使館網絡中首次發現TajMahal間諜軟件框架。但從TajMahal的復雜度判斷,該軟件不可能只部署在這一個地方。這么巨大的投入,只用在一個受害者身上太過浪費。要么還有未發現的受害者,要么該惡意軟件還有其他版本,或者兩種情況均存在。
美國國家安全局(NSA)菁英黑客團隊 Tailored Access Operations 前成員 Jake Williams 稱,這些初始發現可能指向某個非常謹慎而隱秘的國家支持的情報收集行動。該框架的可擴展性需要一支龐大的開發人員隊伍加以支撐。其規避檢測的能力和僅有一家已知受害者的事實也顯示出,該行動在目標選擇上極端謹慎,在操作上非常隱蔽,十分注重行動安全性。
卡巴斯基尚未能通過常見分析方法,比如代碼匹配、共享基礎設施和相似攻擊技術,將TajMahal與任何已知黑客組織相關聯。以中亞國家為目標的事實也對揭示黑客身份沒有太大幫助——因為該描述太過模糊,且既有高級黑客團隊,又對中亞感興趣的國家就包括中國、伊朗、俄羅斯和美國等。卡巴斯基還未能明確TajMahal背后的黑客組織是如何獲取目標網絡初始訪問權的。但卡巴斯基宣稱,該組織在目標主機上植入了初始后門程序——黑客給該后門程序貼的標簽是“Tokyo(東京)”。該后門采用了黑客常用的PowerShell工具來擴展感染范圍,連接命令與控制服務器,以及植入更強大的多功能間諜軟件載荷 “Yokohama(橫濱)” 及其數十個功能模塊。
“橫濱” 那瑞士軍刀式的通用性引起了卡巴斯基研究人員的重視。在包含國家黑客組織常用的很多強大功能的同時,“橫濱” 還具備一些很特殊的功能:受感染PC上插入U盤時,該間諜軟件會掃描U盤內容并向命令與控制服務器上傳U盤內容清單,供黑客判斷要滲漏哪些文件。如果黑客確定需下載文件清單時該U盤已移除,TajMahal可自動監視USB端口,一旦該U盤插入即開始抽取所需文件并上傳。刻錄到光盤或加入打印機隊列的文件也有其他模塊能夠加以標記。
雖然這些功能不是那么華麗,但表現出該間諜軟件背后的黑客行事謹慎而注重效率,努力甄別受害主機上大量內容中哪些文件值得盜取。畢竟,不重要的信息也就不會打印出來,存到U盤上,或者刻錄進光盤中了。
考慮到其復雜性和兼包并蓄的各種功能,TajMahal在目標系統中潛藏的時間就特別引人注意了。卡巴斯基稱,至少自2014年開始,該中亞國家大使館就已經被入侵了。但其各個模塊的編譯時間卻既有2014年前的,也有之后的,有些模塊可追溯到2013年,有些則是2018年才編譯生成的。
無論如何,該間諜軟件框架都潛藏了超過5年以上未被檢測到。至于這是因為其活躍程度相對不高還是別的什么原因,就是另一個令人感興趣的問題了。該間諜軟件框架的發現給網絡安全社區提了個醒:網絡空間中發生的所有事情并未真正納入安全社區的完全監控之下。