■王蕊

卡巴斯基率先發(fā)現(xiàn)針對日本復(fù)雜網(wǎng)絡(luò)間諜攻擊行動(dòng)

■王蕊

全球領(lǐng)先的信息安全廠商——卡巴斯基實(shí)驗(yàn)室全球研究和分析團(tuán)隊(duì)發(fā)現(xiàn)了藍(lán)白蟻（Blue Termite）——一種持續(xù)至少兩年的針對日本數(shù)百家企業(yè)和組織進(jìn)行攻擊的網(wǎng)絡(luò)間諜行動(dòng)。攻擊者的目的是獲取機(jī)密信息，他們使用一種針對Flash player的零日漏洞和一種復(fù)雜的后門程序進(jìn)行攻擊，后門程序可針對每個(gè)受害者進(jìn)行定制。這是卡巴斯基實(shí)驗(yàn)室首個(gè)發(fā)現(xiàn)的專門針對日本目標(biāo)進(jìn)行攻擊的網(wǎng)絡(luò)間諜行動(dòng)，而且該攻擊行動(dòng)目前仍在繼續(xù)。

目前，卡巴斯基實(shí)驗(yàn)室針對個(gè)人和企業(yè)用戶的產(chǎn)品均能夠成功檢測和攔截Blue Termite所使用的惡意軟件，卡巴斯基實(shí)驗(yàn)室產(chǎn)品已將其檢測為Backdoor.Win32.Emdivi.*、Backdoor. Win64.Agent.*、Exploit.SWF.Agent.*、HEUR：Backdoor.Win32. Generic、HEUR：Exploit.SWF.Agent.gen、HEUR：Trojan.Win32. Generic、Trojan-Downloader.Win32.Agent.*和Trojan-Dropper. Win32.Agent.*。

2014年10月，卡巴斯基實(shí)驗(yàn)室研究人員遇到一個(gè)之前從未見過的惡意軟件樣本，其復(fù)雜性非常突出。進(jìn)一步分析顯示，該樣本是一起大規(guī)模的復(fù)雜網(wǎng)絡(luò)間諜攻擊行動(dòng)的一部分。受攻擊的行業(yè)包括政府機(jī)構(gòu)、重工業(yè)、金融行業(yè)、化工行業(yè)、人造衛(wèi)星行業(yè)、媒體行業(yè)、教育機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)、食品行業(yè)和其它行業(yè)等。根據(jù)調(diào)查結(jié)果，這起攻擊行動(dòng)持續(xù)時(shí)間約為兩年。

據(jù)悉，藍(lán)白蟻（Blue Termite）攻擊者會使用多種技巧感染受害者。2015年7月之前，其主要使用魚叉式釣魚郵件，將惡意軟件以郵件附件的形式發(fā)送出去，吸引受害者打開。但是，從7月開始，攻擊者改變了他們的攻擊策略，開始利用一種Flash零日漏洞（CVE-2015-5119，該漏洞于今年夏季在Hacking Team事件中被泄露）傳播惡意軟件。攻擊者攻陷了多家日本網(wǎng)站，訪問這些網(wǎng)站的用戶會自動(dòng)下載漏洞利用程序，造成自己的計(jì)算機(jī)被感染。這種攻擊手段是一種路過式下載感染技巧。

2014-2015年的藍(lán)白蟻（Blue Termite）感染率

利用零日漏洞進(jìn)行感染后，使得相關(guān)惡意軟件的感染率顯著上升。卡巴斯基實(shí)驗(yàn)室的檢測系統(tǒng)在7月記錄到相關(guān)惡意軟件感染率的變化。

此外，攻擊者還試圖對受害者進(jìn)行分類。卡巴斯基實(shí)驗(yàn)室專家發(fā)現(xiàn)，一個(gè)屬于日本政府的受干擾網(wǎng)站和另外一個(gè)包含惡意腳本的網(wǎng)站會過濾訪問者，僅感染某個(gè)特定日本組織的IP。換言之，只有選定的用戶會訪問到惡意內(nèi)容，并且被感染

那么，藍(lán)白蟻（Blue Termite）攻擊者所使用的惡意軟件和語言究竟有何特征？在成功感染計(jì)算機(jī)后，網(wǎng)絡(luò)罪犯會在目標(biāo)計(jì)算機(jī)上部署一個(gè)復(fù)雜的后門程序。這款后門程序能夠竊取密碼、下載和執(zhí)行惡意組件，獲取文件等。Blue Termite使用的惡意軟件最有趣的一點(diǎn)是針對每個(gè)受害者，惡意軟件都是獨(dú)特的，并且只有在特定的計(jì)算機(jī)上才可以啟動(dòng)。根據(jù)卡巴斯基實(shí)驗(yàn)室研究人員研究，網(wǎng)絡(luò)罪犯這樣做的目的是讓安全研究人員更難發(fā)現(xiàn)和分析惡意軟件。

這起攻擊的幕后黑手仍然是個(gè)謎。通常，對網(wǎng)絡(luò)攻擊進(jìn)行定性是一項(xiàng)非常復(fù)雜的任務(wù)。但是，卡巴斯基實(shí)驗(yàn)室的研究人員還是收集到一些關(guān)于語言的蛛絲馬跡。尤其值得注意的是，BlueTermite所使用的惡意軟件的命令和控制服務(wù)器的圖形用戶界面以及一些技術(shù)文檔均使用中文。這可能意味著幕后的攻擊者所說的語言同樣是中文。

卡巴斯基實(shí)驗(yàn)室研究人員收集到足夠信息，確認(rèn)Blue Termite是一起針對日本企業(yè)和組織的網(wǎng)絡(luò)間諜攻擊行動(dòng)后，立刻通過公司代表將相關(guān)發(fā)現(xiàn)通知到當(dāng)?shù)氐膱?zhí)法機(jī)關(guān)。由于Blue Termite攻擊行動(dòng)仍在進(jìn)行，所以卡巴斯基實(shí)驗(yàn)室的調(diào)查也還在進(jìn)行。

對于這一重大發(fā)現(xiàn)，卡巴斯基實(shí)驗(yàn)室高級研究員Suguru Ishimaru表示：“雖然Blue Termite并不是我們發(fā)現(xiàn)的首個(gè)針對日本進(jìn)行的網(wǎng)絡(luò)間諜攻擊行動(dòng)，但卻是卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)的首個(gè)嚴(yán)格地僅攻擊日本的網(wǎng)絡(luò)間諜攻擊行動(dòng)。在日本，這種攻擊仍然是一個(gè)嚴(yán)重的問題。從6月初開始，針對日本養(yǎng)老服務(wù)的網(wǎng)絡(luò)攻擊出現(xiàn)大量報(bào)道，多家日本機(jī)構(gòu)開始部署保護(hù)解決方案。但是，Blue Termite幕后的攻擊者同樣關(guān)注相關(guān)報(bào)道，并且開始使用新的攻擊手段，并且成功擴(kuò)大了其影響。”

為了保護(hù)廣大用戶免受Blue Termite網(wǎng)絡(luò)間諜攻擊感染，卡巴斯基實(shí)驗(yàn)室的安全專家建議用戶采取以下安全措施：

確保軟件及時(shí)更新，尤其是常用軟件以及經(jīng)常被網(wǎng)絡(luò)罪犯所利用進(jìn)行攻擊的軟件；

如果你意識到自己設(shè)備上某款軟件存在安全漏洞，但是目前還沒有安全補(bǔ)丁可用，請避免使用該軟件；

對包含附件的電子郵件保持警惕；

使用可信任的反惡意軟件解決方案?？ò退够鶎?shí)驗(yàn)室針對個(gè)人和企業(yè)的安全產(chǎn)品采用屢獲大獎(jiǎng)的先進(jìn)技術(shù)，能夠全面保障用戶的在線安全，免受各類復(fù)雜與新興威脅。