世界上著名且危險的APT惡意軟件清單
本文嘗試列舉出由各國軍事情報處的網絡安全部門開發的比較危險、有效也是特別聞名的惡意軟件清單,其中有些可以說早已盛名在外,另一些可能你還沒聽過……然而這正是它的危險之處。
一、Regin
Regin被認為是有史以來國家級特別先進的惡意軟件系列,由NSA開發,并與其五眼聯盟合作伙伴(主要是GCHQ)共享。
在2014年被公開披露,但最早的樣本可以追溯到2011年,但也有一些人懷疑Regin早在2003年就被創建了。
一些已為人知的Regin野外部署案例包括比利時電信公司,德國政府反動,以及最近的一個案例,俄羅斯搜索巨頭Yandex。
在技術層面上,安全研究人員認為Regin是迄今為止最先進的惡意軟件框架,它具有數十個功能模塊,其中絕大多數模塊都是圍繞監控操作設計,保證感染主機后也不被發現。
二、Flame
當它在2012年被發現時,安全研究人員并沒有準確地用“惡意軟件”這個詞來描述Flame。當時,Flame非常先進以至于大家都愿意稱之為“攻擊工具包”。
Flame有點類似它的“大哥”Region,也是在框架之上工作的模塊集合,根據操作員所需要的特性進行部署。
2012年,伊朗國家認證中心的MAHER Center在針對伊朗政府機構的襲擊中發現了Flame。而這一發現和stuxnet惡意軟件攻擊時隔兩年,并很快與方程式組織(美國國家安全局的代號)聯系到了一起。后來在針對其他中東政府的襲擊中也發現了Flame。目前,Flame的維基百科頁面保存了所有與flame相關的發現。
三、Stuxnet
Stuxnet是名單上唯一一個擁有自己的紀錄片的惡意軟件。
該惡意軟件是在2000年代由美國國家安全局和以色列8200部隊(以色列軍方的網絡部門)共同共同開發的。2010年在伊朗部署,作為兩國致力破壞伊朗核計劃的一部分。
據說,Stuxnet在釋放時使用了四個不同的零日漏洞,被專門編碼為工業控制系統。它的作用是通過提高和降低轉子速度來修改控制核濃縮操作的離心機的設置,最終引起振動并破壞機器。
這個惡意軟件很成功,據說已經感染了20多萬臺計算機,最終在伊朗納坦茲核設施摧毀了近1000臺離心機。
四、Shamoon
Shamoon是名單上第一個非美國開發的惡意軟件,它是由伊朗國家黑客開發,2012年首次部署在沙特阿拉伯最大的石油生產商沙特阿美石油公司的網絡上。在2012年的攻擊中,一個數據雨刷器,摧毀了超過30000臺電腦。
2016年,針對同一目標,它進行了第二次部署,最近,則是被部署在了意大利石油和天然氣承包商Saipem上,據稱摧毀了該公司10%的PC機隊。
五、Triton
Triton,也稱為Trisis,是最近添加到名單里的,這個惡意軟件被認為是由俄羅斯研究實驗室開發。
Triton在 2017年部署,是專門為Schneider Electric的Triconex安全儀表系統的控制器交互而設計的。根據Fireeye、Dragos和Symantec的技術報告,Triton的設計目的是關閉生產流程或允許Tricon控制的機器在不安全狀態下工作。惡意軟件的代碼泄露,最終在Github上發布。
六、Industroyer
Industroyer也稱為CrashOverride,是俄羅斯國家黑客開發的惡意軟件框架,2016年12月部署在針對烏克蘭電網的網絡攻擊中。
這場攻擊切斷了烏克蘭首都基輔一部分的電力,并持續了一個小時之久。該惡意軟件被認為是Havex和Blacknergy等的進化(它們也曾被用來攻擊烏克蘭電網)。然而,與Havex和Blacknergy不同,它們更像是針對管理工業系統部署的Windows通用惡意軟件,而Industroyer則是專門設計了與西門子電網設備交互的組件。
七、Duqu
Duqu被認為是以色列臭名昭著的8200軍事網絡單位所建立的,2011年匈牙利安全研究人員在發現了Duqu,其第二個版本又于2015年被發現,代號為duqu 2.0。
第一個版本幫助stuxnet攻擊,第二個版本則危害俄羅斯防病毒公司kaspersky lab的網絡。在美國/歐盟與伊朗就核計劃和經濟制裁進行國際談判的奧地利和瑞士酒店的計算機上,同樣也發現了duqu 2.0。
八、PlugX
PlugX首次出現在2012年,是一個來源于中國黑客的遠程訪問特洛伊木馬(RAT)。
被發現以后,中國黑客似乎彼此共享了這個軟件,現在它被廣泛應用于中國國家組織,以至于直接將其歸為一個群體并不是容易的事情。
這里有一個關于plugx的技術報告。
九、Winnti
Winnti和PlugX非常相似。這是另一個中國制造的APT惡意軟件病毒,最初由一個群體使用,但隨著時間的推移,逐漸在中國所有APT中共享。
該惡意軟件自2011年發展至今,被稱之為模塊化后門木馬。 安全研究人員最近還發現了Linux變種。
Winnti和PlugX非常相似。這是另一個中國制造的APT惡意軟件病毒,最初由一個群體使用,但隨著時間的推移,逐漸在中國所有APT中共享。
該惡意軟件自2011年發展至今,被稱之為模塊化后門木馬。 安全研究人員最近還發現了Linux變種。
十、Uroburos
Uroburos是由臭名昭著的Turla集團開發的rootkit,要知道Turla集團是世界上最先進的民族國家黑客組織之一,和俄羅斯政府有一些聯系。
根據G DATA報告,“rootkit能夠控制受感染的計算機,執行任意命令并隱藏系統活動。”
Uroburos(也稱為Turla或Snake rootkit)被廣泛部署,并且非常有效,因為它的目的非常明確:獲得持久啟動并下載其他惡意軟件。
Uroburos是Turla APT攻擊的核心部分,早在2008年就出現在歐洲,美國和中東的受感染計算機上,目標通常是政府機構。它曾經先后出現在45個國家,并且在 2014年還發現了Linux變體。
十一、ICEFOG
ICEFOG是另一個曾被一個集團使用的中國惡意軟件,后來被其他人共享和重用。
ICEFOG于2013年首次亮相,在過去兩年卷土重來,推出了新版本,甚至是Mac版本。更多地可以見報道。
十二、WARRIOR PRIDE
WARRIOR PRIDE是由美國國家安全局和英國GCHQ共同開發,作為清單中唯一的移動惡意軟件。它適用于Android和iPhone,在2014年Snowden泄露期間被發現。
至于功能,iPhone的變體遠比Android的變體先進。它可以從受感染的主機中檢索任何內容,通過靜默啟用麥克風來收聽附近的會話,甚至可以在手機處于睡眠模式時工作。
十三、Olympic Destroyer
在2018年平昌冬季奧運會開幕式期間,Olympic Destroyer被部署在網絡上,電視臺和記者大多受到這次襲擊事件的影響。
據稱,Olympic Destroyer是由俄羅斯黑客創建,對國際奧委會的一場報復,原因是反抗俄羅斯運動員參加冬季奧運會的興奮劑指控,以及禁止其他人在俄羅斯國旗下的競爭。
惡意軟件本身就是一個信息竊取程序,它將應用程序密碼轉儲到受感染的系統上,使得黑客用它來升級對系統的訪問權限,此后他們觸發數據擦除攻擊,導致一些服務器和路由器崩潰。在攻擊發生幾個月后,即2018年6月,新的Olympic Destroye版本再次被發現。
十四、VPNFilter
VPNFilter是名單中唯一為感染路由器而創建的APT惡意軟件。它是由俄羅斯國家黑客開發,在即將舉行2018年歐洲冠軍聯賽決賽的烏克蘭進行了提前部署。
原定計劃是在決賽的現場實時傳輸過程中部署惡意軟件和損壞路由器,類似于在2018年平昌冬季奧運會開幕式期間Olympic Destroyer的攻擊方式。
幸運的是,思科Talos的安全研究人員看到VPNFilter僵尸網絡正在組裝,并在FBI的幫助下將其取下。據FBI稱,該惡意軟件是由Fancy Bear APT創建的。
十五、WannaCry
盡管原因各不相同,但2017年的三次勒索軟件爆發都是由民族黑客開發的惡意軟件。
第一個是WannaCry勒索軟件,由朝鮮黑客開發,其唯一目的是感染受害者并收集平壤政權的贖金,因為當時該政權受到嚴厲的經濟制裁,為了減輕制裁的影響,該政權就利用國家黑客搶劫銀行,開采加密貨幣或運行勒索軟件來收集資金。
然而,WannaCry代碼中存在的問題使得它不僅僅傳播到本地網絡,勒索軟件的內部自我復制(蠕蟲)組件還變得混亂并且感染了所有可見的東西,導致了全球的爆發。
十六、NotPetya
在WannaCry事件兩個月后,第二次勒索軟件爆發席卷全世界。這個勒索軟件被稱為NotPetya,由俄羅斯的Fancy Bear(APT28)組織編碼,最初只在烏克蘭部署。
然而,由于共享網絡和企業VPN導致了NotPetya在全球范圍內傳播,和WannaCry類似,造成了數十億美元的損失。NotPetya也是使用EternalBlue漏洞作為其蠕蟲組件的核心部分。
十七、Bad Rabbit
2017年的最后一次全球勒索軟件爆發,也是國家黑客帶來的。就像NotPetya一樣,Bad Rabbit也是俄羅斯黑客的作品,他們同樣在烏克蘭部署了它,隨后在全球范圍內傳播,盡管和WannaCry、NotPetya相比,影響較小。
Bad Rabbit與NotPetya不同,它沒有使用EternalBlue作為其主要傳播機制,并且還包括許多權力的游戲參考。
十八、EternalBlue
EnternalBlue本身可能并不是惡意軟件,在這個詞的經典含義中,更多的是一種利用,當然,它仍然是由國家開發的,算是符合這份清單。EnternalBlue由美國國家安全局創建,并于2017年4月公開,結果,當時有一群名為The Shadow Brokers的神秘黑客在線發布了該代碼。
發布之后,它是先被用于加密貨幣挖掘活動,而真正成為一個廣為人知和可識別的術語,是在它被嵌入到2017年三個勒索軟件爆發的代碼中,即WannaCry,NetPetya和Bad Rabbit。
從那以后,EternalBlue一直沒有消亡,并且被各種網絡犯罪行為廣泛使用,通過利用Windows計算機上錯誤配置的SMBv1客戶端,將EternalBlue作為傳播到受損網絡內其他系統的機制。
