賽門鐵克發(fā)現(xiàn)武器級木馬病毒
網(wǎng)絡(luò)安全廠商賽門鐵克11月23日對外公布,發(fā)現(xiàn)了一個技術(shù)極為先進(jìn)的網(wǎng)絡(luò)攻擊和信息盜取的木馬,主要攻擊對象是全球多國的寬帶接入商以及電信公司,俄羅斯等多國遭遇攻擊,另外這款工具的開發(fā)者不像是個人或企業(yè),有可能是美國和以色列等國家的政府機(jī)構(gòu)所開發(fā)。
這款網(wǎng)絡(luò)攻擊工具也屬于特洛伊木馬類型,賽門鐵克的團(tuán)隊將其暫時命名為“Regin”。據(jù)美國科技新聞網(wǎng)站Recode報道,發(fā)現(xiàn)這個木馬的團(tuán)隊,在四年前也發(fā)現(xiàn)了被認(rèn)為是全世界第一個網(wǎng)絡(luò)戰(zhàn)武器的攻擊工具Stuxnet。
根據(jù)分析,Stuxnet由美國和以色列兩國合作開發(fā),目的是通過網(wǎng)絡(luò)攻擊摧毀伊朗的核計劃。
賽門鐵克表示,Regin木馬是一個十分復(fù)雜的網(wǎng)絡(luò)攻擊工具,技術(shù)難度之高實(shí)屬罕見,這款攻擊工具擁有豐富的功能,幕后操縱者可以對大量網(wǎng)民實(shí)施監(jiān)聽。
據(jù)稱,這一木馬最早可能在2008年就已經(jīng)出現(xiàn),到2011年突然消失,2013年再度現(xiàn)身網(wǎng)絡(luò)。
Regin的攻擊目標(biāo)是各國的政府機(jī)構(gòu)、企業(yè)、研究機(jī)構(gòu)和個人。目前賽門鐵克一共發(fā)現(xiàn)的木馬感染案例大約有100宗。
在所有攻擊和感染案例中,52%發(fā)生在俄羅斯和沙特。其余案例分布在墨西哥、以色列、印度、阿富汗、伊朗、比利時、奧地利和巴基斯坦。
賽門鐵克表示,到目前為止中國地區(qū)尚未發(fā)現(xiàn)被攻擊的案例。
賽門鐵克公司的一位安全研究人員莫楚(LiamO’Murchu)介紹說,之前公司客戶在網(wǎng)絡(luò)上發(fā)現(xiàn)了這個木馬,并將一部分代碼提交給了賽門鐵克,公司進(jìn)行了深入研究,從而獲得了這一木馬的更多詳情。
這位研究人員表示,Regin木馬的開發(fā)質(zhì)量和所需要投入的資金都表明,這應(yīng)該是一個國家的政府部門所開發(fā),其最早開始監(jiān)聽的時間為2008年,甚至從2006年就已經(jīng)開始。
根據(jù)賽門鐵克研究發(fā)現(xiàn),Regin木馬主要攻擊基于Windows的電腦和網(wǎng)絡(luò)系統(tǒng)。其整個攻擊過程分為五個階段,只有第一個階段可以被安全專業(yè)人士所發(fā)現(xiàn)。
據(jù)稱,每一個階段的攻擊,為下一個階段提供了入口,不同的階段解密不同信息,并執(zhí)行不同的指令。從這個角度看,Regin和Stuxnet以及另外一款木馬Duqu有類似之處。
據(jù)報道,Regin木馬的一般攻擊對象是各國的寬帶接入商,主要盜取網(wǎng)民信息,其他被攻擊對象包括電信公司、酒店、能源公司、航空公司和研究機(jī)構(gòu)。
這一木馬如何傳播目前還不得而知。而在其中的一個案例中,雅虎即時通信工具“雅虎通”傳播了木馬。而在另外一個案例中,這一木馬通過釣魚網(wǎng)站傳播。
據(jù)稱,一旦進(jìn)入被攻擊的電腦并獲得系統(tǒng)控制權(quán),Regin的幕后控制人可以植入后續(xù)的工具(“攻擊彈頭”),實(shí)施具體的通信監(jiān)聽等任務(wù)。
通過后續(xù)植入的功能,這一木馬可以完成多重任務(wù),比如完全掌握電腦控制權(quán)、自由拷貝硬盤軟件、打開攝像頭、打開麥克風(fēng)等。
?