卡巴斯基解密Wild Neutron神秘網(wǎng)絡(luò)攻擊再度來襲

2015-11-08 07:12:18王蕊

計算機與網(wǎng)絡(luò) 2015年14期

■王蕊

■王蕊

近日，卡巴斯基實驗室研究人員發(fā)現(xiàn)一個以全球多個國家和地區(qū)為攻擊目標(biāo)的Wild Neutron黑客組織。目前，包括法國、俄羅斯、瑞士、德國、奧地利、巴勒斯坦、斯洛文尼亞、哈薩克斯坦、阿聯(lián)酋、阿爾及利亞和美國在內(nèi)的11個國家和地區(qū)均已遭受攻擊。而攻擊目標(biāo)則包括律師事務(wù)所、同比特幣相關(guān)的公司、投資公司、經(jīng)常涉及企業(yè)并購的大型企業(yè)組織、IT公司、醫(yī)療保健公司、房地產(chǎn)公司以及個人用戶。

早在2013年，卡巴斯基實驗室就曾發(fā)現(xiàn)該黑客組織（又被稱為“Jripbot”和“Morpho”）對多個知名公司發(fā)動了攻擊，包括蘋果公司、Facebook、Twitter和微軟公司。在攻擊事件曝光后，該黑客組織沉寂了近一年時間，此后于2013年末和2014年初繼續(xù)開始攻擊，并且持續(xù)到2015年。

據(jù)了解，攻擊者使用一種竊取到的合法代碼驗證證書和一種未知的Flash Player漏洞利用程序感染全球的企業(yè)和個人用戶，竊取敏感的商業(yè)信息。而攻擊重點顯示，攻擊者應(yīng)該沒有得到某個國家和政府的支持。但是，攻擊者使用了零日漏洞、多平臺惡意軟件以及其它多種攻擊技巧，所以，卡巴斯基實驗室研究人員認(rèn)為這是一個實力強大的網(wǎng)絡(luò)間諜攻擊組織，其發(fā)動攻擊的目的可能是出于經(jīng)濟(jì)原因。

對于最近發(fā)生的攻擊事件，其初始感染手段目前還未知。盡管有跡象顯示攻擊者利用了未知的Flash Player漏洞利用程序通過受感染網(wǎng)站感染受害者。漏洞利用程序會在受害者的系統(tǒng)上安裝惡意軟件釋放器。

根據(jù)卡巴斯基實驗室研究人員的分析，惡意軟件釋放器使用一個合法的代碼驗證證書進(jìn)行簽名。使用數(shù)字證書簽名，可以讓惡意軟件繞過一些安全解決方案的檢測。Wild Neutron攻擊中使用的數(shù)字簽名盜竊自一家知名的電子產(chǎn)品生廠商。目前，該數(shù)字證書已被撤銷。而在成功入侵系統(tǒng)后，惡意軟件釋放器會在系統(tǒng)上安裝主后門程序。

就主后門程序的功能而言，它與其它遠(yuǎn)程訪問工具（RATs）并無很大差別。真正突出的是攻擊者隱藏命令和控制服務(wù)器（C&C）地址以及恢復(fù)被關(guān)閉的C&C的能力。命令和控制服務(wù)器是惡意基礎(chǔ)設(shè)施非常重要的一部分，因為對于部署到受害者計算機上的惡意軟件，其充當(dāng)著“基地”的作用。后門程序中內(nèi)置了特殊的功能，能夠幫助攻擊者保護(hù)基礎(chǔ)設(shè)施，避免命令和控制中心被關(guān)閉。

此外，根據(jù)卡巴斯基實驗室的分析，在一些惡意軟件樣本中，加密的配置文件中包括“La revedere”（羅馬尼亞語“再見”）字符串，這標(biāo)志著同命令和控制服務(wù)器的通訊結(jié)束?？ò退够鶎嶒炇业难芯咳藛T還發(fā)現(xiàn)另一個非英語字符串，是俄語“Успешно”（“uspeshno”-＞“successfully”）的拉丁語轉(zhuǎn)寫。因此，攻擊者的身份目前仍是個謎。

在談及這一重大發(fā)現(xiàn)時，卡巴斯基實驗室全球研究和分析團(tuán)隊總監(jiān)Costin Raiu表示：“Wild Neutron是一個技術(shù)高超，并且全能的攻擊組織。該組織從2011年開始活躍，在攻擊中使用了至少一個零日漏洞利用程序，還使用了定制的針對Windows和OS X的惡意軟件和工具。盡管其在過去針對全球多個知名企業(yè)發(fā)動過攻擊，但仍然通過高超的操作安全技術(shù)，保持低調(diào)，而且目前我們?nèi)匀粺o法對其進(jìn)行定性。該攻擊組織的攻擊目標(biāo)包括大型IT企業(yè)、間諜軟件開發(fā)商（FlexiSPY）、圣戰(zhàn)主義者論壇（“圣戰(zhàn)士追隨者英語論壇”）和比特幣公司。這表明攻擊者的興趣不同尋常，并且非常多變?！?/p>

目前，卡巴斯基實驗室針對企業(yè)和個人用戶的安全產(chǎn)品能夠成功檢測和攔截Wild Neutron攻擊組織所使用的惡意軟件，并且已將其檢測為Trojan.Win32.WildNeutron.gen、Trojan. Win32.WildNeutron.★、Trojan.Win32.JripBot.★和Trojan. Win32.Generic。