本周在拉斯维加斯举行的黑帽大会上,一名恶意软件研究人员称,目前互联网上的网络间谍活动具有很强的针对性。网络间谍活动不再只是政府部门针对其他国家政府或者窃取竞争对手商业机密的活动,私有安全公司同样参与到这些间谍活动中,虽然他们声称提供“道德黑客服务”。
戴尔SecureWorks公司研究主管Joe Stewart表示,在现在的网络间谍活动中,“有数百个很小的僵尸网络”。这些命令控制系统制作一件事情:破坏目标企业和政府网络以了解值得窃取的重要信息情况,然后拿走这些信息。
与其他类型的网络犯罪僵尸网络(例如用于执行财务盗窃或者通过很多感染机器生成垃圾邮件的僵尸网络)不同,网络间谍僵尸网络似乎只是针对某些有价值的目标,例如日本财政部近日就遭遇了数据泄露事故。
Stewart在周三发布的“追踪APT”的论文中指出,日本是很多国家的攻击目标,他在文章中列举了网络间谍活动中使用的200多种自定义恶意软件。事实上,Stewart表示,攻击RSA的“Htran”代码目前仍然在使用中,并与针对日本的攻击事件有关联。
Steart认为,美国和以色列涉嫌Flame病毒网络间谍活动,另外,网络间谍活动不再只是政府发起的活动。
Stewart在其“追踪APT”的报告中表示:“越来越多的政府参与网络间谍互动和网络破坏活动,这让某些私人公司开始将这种类型活动合法 化。”在其他关于网络间谍活动的研究中,我们发现亚洲国家的一家私人安全公司针对外国军队发起的间谍活动,很有可能代表该公司所在的国家政府。这种政府外 包给承包商的攻击活动推动了市场需求,因为政府部门往往没有长期的具有先进攻击技术的雇员。例外,我们也发现政府的攻击活动开始扩展到使用后门和鱼叉式钓 鱼攻击来获取美国和欧洲公司的情报。讽刺的是,这些公司提供道德黑客课程作为他们服务的一部分。
戴尔SecureWorks公司并没有透露这家公司的名字,但Stewart指出,“参与这种活动的公司可能很难与道德安全公司和安全研究人员建立信任关系,这将使这些公司很难获得实时网络威胁情报,最终损坏其自己的声誉以及保护其客户网络免受攻击的能力。”
在对高级持续性攻击的技术分析中,SecureWorks指出,除了200多种自定义恶意软件,网络间谍活动注册超过1100个域名用于托管恶意软件命令和控制或鱼叉式钓鱼攻击,还有将近2万个子域名。
但与其他网络犯罪僵尸网络(可能包含数百万感染计算机)不同,网络间谍活动更加具有针对性,数百个僵尸网络中拥有成千上万台被感染机器,每个僵尸网络可能一次只控制几百台计算机。