研究人员发现新的全球网络间谍活动

安全研究人员已经确定正在进行的网络间谍活动破坏了来自23个国家的政府组织，研究机构，智囊团和私营公司的59台电脑过去10天

攻击行动由安全公司卡巴斯基实验室和布达佩斯技术经济大学密码学和系统安全实验室（CrySyS）的研究人员发现和分析。

被称为MiniDuke的攻击活动使用有针对性的电子邮件消息 - 一种被称为鱼叉式网络钓鱼的技术 - 传送带有rebn的恶意PDF文件

[进一步阅读：如何从您的Windows PC中移除恶意软件]

此漏洞最初是由FireEye的安全研究人员在本月早些时候发现的主动攻击中发现的，并且能够胜任在Adobe Reader 10和11中绕过沙箱防护.Adobe针对2月20日利用漏洞攻击的漏洞发布了安全补丁。

新的MiniDuke攻击使用与FireEye识别的相同漏洞，但通过一些高级修改，称卡巴斯基实验室全球研究和分析团队总监Costin Raiu周三表示。这可能表明攻击者可以访问用于创建原始漏洞的工具包。

恶意PDF文件是报告的流氓副本，其内容与目标组织有关，并包含关于非正式亚欧会议的报告（ASEM）人权研讨会，关于乌克兰北约成员行动计划的报告，关于乌克兰地区外交政策的报告以及关于2013年亚美尼亚经济协会的报告等等。如果利用成功，流氓PDF文件安装使用从受影响系统收集的信息加密的恶意软件。 Raiu说，这种加密技术也被用于高斯网络间谍恶意软件，并防止恶意软件在不同的系统上被分析。他说，如果在不同的计算机上运行，​​恶意软件将会执行，但不会启动其恶意功能。

这种威胁的另一个有趣的方面是它只有20KB的大小，并且是用汇编编写的，这是一种很少使用的方法今天由恶意软件创作者。 Raiu说，与现代恶意软件相比，它的体积很小也不寻常。他表示，程序员是“老派的”，他说，在攻击的第一阶段安装的恶意软件连接到特定的Twitter帐户，其中包含指向四个网站的加密命令，控制服务器。这些网站托管在美国，德国，法国和瑞士，主持加密的GIF文件，其中包含第二个后门程序。

第二个后门程序是对第一个后门程序的更新，并连接回命令和控制服务器下载另一个专门为每个受害者设计的后门程序。截至周三，指挥和控制服务器为葡萄牙，乌克兰，德国和比利时的五名独特受害者举办了五个不同的后门程序，Raiu说。这些独特的后门程序连接到巴拿马或土耳其的不同命令和控制服务器，并且他们允许攻击者在受感染的系统上执行命令。

MiniDuke网络间谍活动背后的人至少从2012年4月开始运行，其中一个特殊的Twitter帐户首次创建，Raiu说。然而，他们的活动可能直到最近才变得更加微妙，他们决定利用Adobe Reader的新漏洞在尽可能多的机构中破解漏洞之前妥协，他说。Raiu说，新攻击中使用的恶意软件是独一无二的，之前从未见过，所以该组织过去可能使用了不同的恶意软件。他表示，从目标广泛和攻击的全球性质来看，攻击者可能有很大的议程，他说。MiniDuke的受害者包括来自比利时，巴西，保加利亚，捷克共和国，格鲁吉亚，德国，匈牙利，爱尔兰的组织，以色列，日本，拉脱维亚，黎巴嫩，立陶宛，黑山，葡萄牙，罗马尼亚，俄罗斯，斯洛维尼亚，西班牙，土耳其，乌克兰，英国和美国等国家和地区。

在美国，一个研究机构，两个亲美国Raiu说，没有提到任何受害者，但是智库和一家医疗保健公司都受到这次袭击的影响.Raiu说，这次袭击并不像Flame或Stuxnet那么复杂，但仍然很高。没有迹象表明攻击者可能从哪里操作，或者他们可能服务的是什么兴趣。

也就是说，后门编码风格让人想起一群名为29A的恶意软件作者，据信自2008年以来已停止使用。 Raiu表示，在代码中的“666”签名和29A是666的十六进制表示，

在FireEye分析的早期攻击中使用的恶意软件中也发现了“666”值，但该威胁与MiniDuke不同， Raiu说。这两起袭击是否相关的问题仍然存在。

这次网络间谍活动的消息出现在重新讨论中国网络间谍威胁的问题上，特别是在美国，这是由最近的一份报告安全公司Mandiant。该报告详细介绍了一群名为评论员的网络攻击者长达数年的活动，Mandiant认为这是中国军队的一个秘密网络单位。中国政府驳回了这些指控，但该报道在媒体中得到了广泛报道。

Raiu说，迄今为止确定的MiniDuke受害者都没有来自中国，但拒绝猜测这一事实的重要性。上周，其他公司的安全研究人员发现了针对性攻击，这些攻击分发了相同的PDF漏洞，伪装成Mandiant报告的副本。

这些攻击安装了显然是中国血统的恶意软件，Raiu说。然而，与MiniDuke相比，这些攻击在这些攻击中的使用方式非常粗糙，恶意软件不够成熟，他说。