日前,卡巴斯基实验室发布2012年第三季度IT威胁演化报告,报告显示第三季度发生了多起网络间谍相关事件,其中最值得关注的的是同Madi、Gauss和Flame恶意软件相关的事件。
这其中包含一次持续近一年的入侵计算机系统攻击行动,攻击目标为中东地区的工程公司、政府机构、银行以及大学的基础设施。经过卡巴斯基实验室与以色列的 Seculert公司进行的联合调查,该恶意程序被命名为“Madi”,其恶意组件通过一种常见的并不复杂的攻击方式进行传播。尽管其所用的技术非常简单,但网络罪犯攻击效果仍然显著,在很长一段时间内对受害用户进行了密切监控。。这表明,用户的互联网安全意识仍然亟需提高。
上述攻击会在被侵入的计算机上安装利用Delphi编写的后门程序。这些后门程序可能是由一些非专业的编程者制作,或者是由专业的开发者编写,但其开发时间非常仓促,被攻击用户的通讯在很长一段时间内都得到网络罪犯的严密监视。
而在发现Flame后,国际电信联盟(ITU)在又一项调查中,揭开了Gauss的神秘面纱。从本质上来说,Gauss是一款具有政治背景的“网银”木马,除了能够窃取受感染Windows系统上的各种数据外,它还具有未被破译的恶意功能,且该恶意程序只会在具有特定配置的系统上激活。Gauss基于 Flame平台,同Flame有一些相似之处,例如都会通过感染USB驱动器进行传播。
此外,卡巴斯基实验室的专家还获取到一些关于 Flame命令控制(C&C)服务器的最新信息。卡巴斯基实验室联合赛门铁克、ITU-IMPACT和CERT-Bund/BSI的调查发现:基于该平台的命令服务器的代码开发最早可以追溯到2006年。通过源代码中的备注来判断,该项目至少有四个编程人员共同开发。命令控制代码支持三种通讯协议。此外,还有一个重大发现,即命令控制服务器会处理来自四种恶意程序的请求,这些恶意程序的代号分别为SP、SPE、FL和IP。这四种恶意程序中,目前只有两种已知,分别为Flame和SPE(即miniFlame)。
根据调查收集到的数据,我们可以断定,网络间谍行为在不远的将来仍将继续泛滥。在网络武器不断出现的情况下,卡巴斯基实验室工作的目标就是化解这些威胁。