【游戏通鉴Vol.15】一万年壮美画卷上那道写不开的证明题——《异度装甲》(異域神兵)全回顾
目录:
根据一个黑暗的黑客群体从全球外交,政府和科学研究计算机网络抽取了五年多的情报数据,其中包括美国的目标。来自卡巴斯基实验室的报告
卡巴斯基实验室在10月份开始研究恶意软件攻击,并将它们称为“Rocra”,即“Red October”的缩写。Rocra在Microsoft Excel,Word和PDF文档类型中使用一些安全漏洞来感染个人电脑,智能手机和电脑网络设备。周二,研究人员发现恶意软件平台也使用基于Web的Java漏洞攻击。
目前还不清楚谁是这些攻击的后盾,但Rocra至少使用了三项由中国黑客创建的公开知名漏洞。根据卡巴斯基实验室的报告,Rocra的程序设计似乎来自一组独立的俄语操作员。
[进一步阅读:您的新PC需要这15个免费的优秀程序]这些攻击是持续并针对高级机构进行所谓的鱼叉式捕鱼攻击。卡巴斯基估计,红十月攻击可能在运行时获得数百TB的数据,可能早在2007年5月。
2011年至2012年间,在300多个国家中发现了Rocra感染来自卡巴斯基反病毒产品的信息。受影响的国家主要是前苏联成员,包括俄罗斯(35个感染者),哈萨克斯坦(21)和阿塞拜疆(15)。
其他感染高发国家包括比利时(15),印度(14),阿富汗(10)和亚美尼亚(10)。在美国的使馆发现了六起感染。因为这些数字只来自使用卡巴斯基软件的机器,所以真正的感染数量可能会更高。
卡巴斯基表示,Rocra中使用的恶意软件可以窃取PC工作站和连接到PC的智能手机的数据,包括iPhone,诺基亚和Windows Mobile手机。 Rocra可以从思科品牌设备获取网络配置信息,并从可移动磁盘驱动器获取文件,包括已删除的数据。
恶意软件平台还可以窃取电子邮件和附件,记录受感染机器的所有击键,截图,并从Chrome,Firefox,Internet Explorer和Opera Web浏览器中抓取浏览记录。如果这还不够,Rocra还会抓取存储在本地网络FTP服务器上的文件,并且可以通过本地网络复制自己。
虽然Rocra的功能显得非常广泛,但不是安全领域的每个人对Rocra的攻击方法印象深刻。 “安全公司F-Secure在其公司博客上表示,所使用的漏洞攻击没有任何进展。 “攻击者使用旧的,众所周知的Word,Excel和Java漏洞。到目前为止,没有使用零日漏洞的迹象。“零日漏洞是指在此之前发现的以前未知的漏洞利用。”尽管技术能力并不令人满意,但F-Secure表示,红十月攻击由于Rocra一直活跃的时间长短以及一个团体进行的间谍活动的规模,这些都很有趣。 “但是,”F-Secure补充说。 “令人难过的事实是,公司和政府一直在遭受来自许多不同来源的类似攻击。”
当受害者下载并打开一个恶意生产力文件(Excel,Word,PDF),然后Rocra可以检索到更多恶意软件时,命令和控制服务器,一种称为特洛伊木马专家的方法。第二轮恶意软件包括收集数据并将该信息发送回黑客的程序。
被盗的数据可能包括日常文件类型,如纯文本,富文本,Word和Excel,但Red October攻击也会在加密数据(例如pgp和gpg加密文件)之后执行。
另外,Rocra会查找使用“Acid Cryptofile”扩展,这是政府和组织使用的加密软件,包括欧盟和北大西洋公约组织。根据卡巴斯基的说法,Rocra背后的人士是否有能力破译他们获得的任何加密数据并不清楚。
电子邮件重生
Rocra的组件之一搜索任何传入的PDF或Office文档它包含可执行代码并用特殊的元数据标记进行标记。卡巴斯基说,该文件将通过所有安全检查,但一旦下载并打开,Rocra就可以启动附加到该文件的恶意应用程序,并继续向坏人提供数据。所有黑客所要做的就是设置一些新的服务器并通过电子邮件将恶意文件发送给以前的受害者,以恢复业务。
Rocra的服务器设置为一系列代理服务器(隐藏在其他服务器后面的服务器),这使得发现攻击的来源变得更加困难。 Kasperksy表示Rocra基础设施的复杂性与Flame恶意软件相当,后者也被用来感染PC和窃取敏感数据。在Rocra,Flame或恶意软件(如Duqu)之间没有任何已知的联系,这是建立在与Stuxnet类似的代码上的。
正如F-Secure所指出的,红色十月攻击似乎没有做任何特别新的事情,但这个恶意软件广告活动时间长短令人印象深刻。与其他网络间谍活动(例如Flame)类似,Red October依靠将用户下载并打开恶意文件或访问可将代码注入其设备的恶意网站。这表明,尽管计算机间谍活动可能会增加,但计算机安全基础知识可以大大减少这些攻击。
采取预防措施
有用的预防措施,例如警惕来自未知发件人的文件或注意从他们声称的发件人身上发现的文件是一个好的开始。谨慎访问您不认识或不信任的网站也很有用,特别是在使用公司设备时。最后,确保您的Windows版本具有所有最新的安全更新,并认真考虑关闭Java,除非您绝对需要它。您可能无法阻止所有形式的攻击,但坚持基本的安全措施可以保护您免受网上许多不良行为人的伤害。
卡巴斯基表示,目前还不清楚红色十月袭击是否是一个民族国家或罪犯的作品,在黑市上出售敏感数据。安全公司计划在未来几天内发布更多关于Rocra的信息。
如果您担心您的任何系统是否受Rocra的影响,F-Secure表示其防病毒软件可以检测当前已知的攻击红十月攻击。卡巴斯基的防病毒软件也可以检测到来自Rocra的威胁