隐身的大象 - iYouPort
隐身的大象
- 房间里有一只大象,其结构极为复杂,和任何一种大象都不一样,而且,它在房间里秘密活动了至少5年,而从未被发现。这是怎么回事?
安全研究人员并非每天都能发现一个新的由国家赞助的黑客组织;更罕见的是一个间谍软件具有80个不同的模块,具有奇怪而独特的网络间谍技巧 — — 而且已经秘密活动了至少五年。
在新加坡举行的卡巴斯基安全分析师峰会(Kaspersky SecurityAnalyst Summit)上,卡巴斯基安全研究员 Alexey Shulmin 透露,卡巴斯基发现了一个名为 TajMahal 的新间谍软件框架,这是一款可适应的模块化软件,带有用于不同间谍任务的插件。TajMahal 是根据间谍软件将被盗数据从受害者电脑上转移出来的一个文件命名的。
Shulmin 说,TajMahal 框架的80个模块不仅包括其他间谍软件典型的键盘记录和屏幕抓取功能,还包括一些前所未见的和模糊的功能。
它可以截取打印机队列中的文档,并跟踪“感兴趣的文件”,如果 USB 驱动器插入受感染的计算机,则会自动窃取数据。卡巴斯基说,这种独特的间谍软件工具包没有任何已知的民族国家黑客组织的指纹。
“如此庞大的模块组合告诉我们,这个APT非常复杂,”Shulmin 在他的演讲之前的一次电子邮件采访中写道,APT 是高级持续性威胁,指的是那些能够长期和隐蔽地访问受害者网络的复杂黑客。“TajMahal 是一个非常罕见的、技术先进和复杂的框架,其中包括我们以前从未在任何其他 APT 活动中看到的许多有趣的功能。再加上这个 APT 有一个全新的代码库 — — 与其他已知的 APT 和恶意软件没有任何相似性 — — 我们认为 TajMahal 是独特的和有趣的。“
去年秋天,卡巴斯基说, 它首次在一个受害者的网络上发现了 TajMahal 间谍软件框架:是一个中亚国家的大使馆,卡巴斯基拒绝透露其国籍和位置。但考虑到该软件的复杂性,Shulmin 说 TajMahal 可能已部署在其他地方了。
“对于只有一名受害者来说,这种巨额投资似乎不太可能的,”他写道。“这表明还有其他受害者尚未确定,或者是这种恶意软件的其他版本,或者两者兼而有之。”
这些初步调查结果可能表明, 这是一个非常谨慎的国家支持的情报收集行动 ,Jake Williams 说,他是国家安全局的定制访问操作黑客部门的成员,他说,“它的可扩展性需要一个庞大的开发团队”。
Shulmin 表示卡巴斯基尚未能够通过代码匹配、共享基础设施或熟悉技术的常用方法将 TajMahal 关联到任何已知的黑客组织,TajMahal 以间谍软件用来将被盗数据从受害者机器上移出的文件名命名。
考虑到该描述的模糊性以及拥有中亚利益的复杂黑客团队的国家,包括中国、伊朗、俄罗斯和美国在内,其中亚目标并未提供任何关于黑客身份的简单线索。卡巴斯基也没有确定 TajMahal 背后的黑客如何获得对受害者网络的初始访问权限。
但是他们确实注意到该组织在机器上制作了一个初步的后门程序,黑客将其标记为“Tokyo”。这个后门使用 PowerShell 连接到命令和控制服务器,并植入 TajMahal 的多功能间谍软件 Yokohama。
Yokohama 除了拥有一些常见的间谍功能,也具备一些特殊功能。如受感染的电脑在插入USB驱动器时,它会扫描和上传命令和控制服务器的列表,黑客组织可以决定窃取哪些文件。如果在黑客决定之前USB驱动器已从设备上删除,TajMahal 可以自动监控同一驱动器的USB端口,可在USB驱动器下次出现时将黑客所需文件上传。
虽然这些功能都不是特别华丽,但整体上显示这是一个细心的对手,他们正在努力辨别出受害者计算机中庞大而混乱的内容中的哪些文件可能值得偷窃。“如果这些信息在某种程度上不重要,那就不会打印信息,将其保存到USB记忆棒,或将其刻录到CD上,”Shulmin 说。
考虑到它的精致和不拘一格的特征,并且未被发现的时间非常长,卡巴斯基说,某中亚大使馆的受害者至少自2014年以来一直受到损害。但是 TajMahal 的编程时间 — — 指示其中一段编程的时间戳 — — 表明它在该日期之前和之后很久都是活跃的。有些模块可以追溯到2013年,而其他模块最近的日期是2018年。
“显然它已经至少秘密运作了五年以上。这提醒网络安全社区,我们从未真正全面了解网络空间发生的一切。”
“ I t is a reminder to the cybersecurity community that we never really have full visibility of everything that is going on in cyberspace.” MYSTERIOUS HACKERS HID THEIR SWISS ARMY SPYWARE FOR 5 YEARS
文章版权归原作者所有。
