研究者发现名为SafeNet的全球性的网络间谍行为

趋势科技安全研究员披露了一场活跃的网络间谍活动行为,到目前为止,这次行动所破坏的电脑分别属于100多个国家的政府机构,科技公司,媒体,学术研究机构和非政府组织。

趋势科技将这次的攻击行为命名为SafeNet,它的目标对象是使用带有恶意附件的钓鱼邮件的用户。该公司的研究人员调查了这次操作,并于周五在一份研究报告中公布了自己的发现。

这一调查发现了两套C&C服务器,它们指示着两个单独的SafeNet攻击行动,虽然目标不同,但却是用相同的恶意软件。

其中一场攻击是使用带有西藏和蒙古内容的钓鱼邮件。这些邮件带有.doc附件,利用的是微软Word软件的漏洞,该漏洞微软在2012年4月出了补丁。

从这场攻击的C&C服务器所收集的访问日志发现,共有来自11个国家的243个IP地址。但是,研究者在调查过程中发现仅有三位受害者还有活动迹象,其IP地址来自蒙古共和国和苏丹。

据研究者透露,第二场攻击行动的C&C服务器则记录了116个国家的11563个IP地址,不过真正受害用户的数量应该远小于这个数。在调查期间,有71位受害者的电脑与这台C&C服务器沟通。

第二次攻击中使用的邮件虽未被识别,但是这次攻击的范围较第一次的要广,而且受害者的地理分布比较分散。排名前五的受害IP在印度,美国,中国,巴基斯坦,菲律宾和俄罗斯。

被感染电脑上所安装的恶意软件主要用于偷取信息,但是其功能可通过额外的模块来增强。研究者在C&C服务器上发现了用于特别用途的插件组件,还发现了可把IE和Firefox浏览器记下的密码提取出来的现成程序,以及Windows中远程桌面协议凭据。

“虽然通常都很难确定攻击者的意图和身份,但是我们确定了SafeNet攻击是有目标的,而且它使用了专业软件工程师开发的恶意软件,这些工程师或许与中国的地下网络罪犯有关,”趋势科技研究师们在研究报告中写道。“攻击者可能曾在中国比较有名的技术大学学习,似乎还访问过一家互联网服务公司的源代码库。”

这个C&C服务器的操作者是从不同国家的IP地址接入C&C服务器,但是最常见的是从中国和香港的地址接入,趋势科技研究者称。“我们还看了其VPN和代理工具的使用情况,包括Tor,它们主要是用来为攻击者制造地理位置多变的IP地址。”