卡巴斯基率先發(fā)現(xiàn)首個阿拉伯網(wǎng)絡(luò)間諜組織

卡巴斯基率先發(fā)現(xiàn)首個阿拉伯網(wǎng)絡(luò)間諜組織

卡巴斯基實(shí)驗(yàn)室全球研究和分析團(tuán)隊最近發(fā)現(xiàn)了一個以中東國家多家重要機(jī)構(gòu)和個人為目標(biāo)的網(wǎng)絡(luò)間諜攻擊組織——沙漠獵鷹（Desert Falcons）?？ò退够鶎?shí)驗(yàn)室安全專家有多個理由相信，該組織幕后的攻擊者來自阿拉伯語地區(qū)。卡巴斯基實(shí)驗(yàn)室安全專家認(rèn)為這是首個被發(fā)現(xiàn)的阿拉伯網(wǎng)絡(luò)雇傭軍組織，該組織能夠開發(fā)和執(zhí)行大規(guī)模的網(wǎng)絡(luò)間諜攻擊行動。

卡巴斯基實(shí)驗(yàn)室的調(diào)查顯示，沙漠獵鷹攻擊行動已持續(xù)至少兩年時間：它從2011年開始開發(fā)和籌劃，但攻擊和感染始于2013年，并在2015年初達(dá)到巔峰。遭遇攻擊的受害者包括軍事和政府機(jī)構(gòu)，尤其是反洗錢機(jī)構(gòu)、醫(yī)療和經(jīng)濟(jì)組織的員工、知名媒體、研究和教育機(jī)構(gòu)、能源和公共事業(yè)設(shè)備提供商、激進(jìn)主義者和政治領(lǐng)導(dǎo)人、物理安全企業(yè)以及其他掌握重要地緣政治信息的機(jī)構(gòu)。沙漠獵鷹行動的幕后攻擊者可以利用特有的惡意工具攻擊上述機(jī)構(gòu)的Windows計算機(jī)和安卓設(shè)備?？ò退够鶎?shí)驗(yàn)室研究專家估計來自三個團(tuán)伙的至少30名人員在不同國家操縱著沙漠獵鷹攻擊行動。

據(jù)了解，沙漠獵鷹攻擊組織主要通過電子郵件、社交網(wǎng)絡(luò)內(nèi)容或聊天信息進(jìn)行釣魚式攻擊，以此傳播惡意代碼。釣魚信息中所包含的惡意文件（或指向惡意文件的鏈接）會偽裝成合法文檔或應(yīng)用程序。沙漠獵鷹使用多種手段誘使受害者運(yùn)行惡意文件。其中最常用的是一種被稱為文件擴(kuò)展名從右至左覆蓋技巧。

這一手段利用Unicode中的特殊字符，反向顯示文件名字符，在文件名中隱藏危險的文件名擴(kuò)展名，并且將一個看似無害的虛假文件擴(kuò)展名置于文件名稱的末尾。通過使用這一手段，惡意文件（.exe和.scr）看似為無害的文檔或PDF文件。甚至具有較高計算機(jī)知識的細(xì)心用戶也可能上當(dāng)受騙，運(yùn)行其中的惡意文件。例如，以.fdp、.scr結(jié)尾的文件看上去會顯示為.rcs和. pdf文件。

成功感染受害者后，沙漠獵鷹會使用兩種后門程序中的一種，分別為沙漠獵鷹木馬或DHS后門程序。這兩種惡意程序均由攻擊者自主開發(fā)，并且現(xiàn)在還處于不斷開發(fā)之中?？ò退够鶎?shí)驗(yàn)室專家發(fā)現(xiàn)該組織在攻擊中使用了超過100種惡意軟件樣本。這些惡意工具具有全面的后門功能，包括截取屏幕、記錄鍵盤擊鍵、上傳/下載文件、在受害者磁盤或連接的USB設(shè)備上收集所有Word和Excel文件信息、竊取存儲在系統(tǒng)注冊表（Internet Explorer和live Messenger）中的密碼以及錄音功能。卡巴斯基實(shí)驗(yàn)室專家還在安卓設(shè)備上發(fā)現(xiàn)了惡意軟件的活動痕跡，攻擊者使用了具有手機(jī)來電和短信日志竊取功能的安卓木馬程序。通過使用這些工具，沙漠獵鷹攻擊組織發(fā)動和實(shí)施了至少三次不同的惡意攻擊行動，不同國家的大量用戶和組織淪為其受害者。

在談及沙漠獵鷹行動的幕后攻擊者時，卡巴斯基實(shí)驗(yàn)室全球研究和分析團(tuán)隊安全專家Dmitry Bestuzhev表示：“該組織成員具有良好的技術(shù)背景和政治文化眼光，其攻擊目標(biāo)非常堅定，攻擊行動也異?；钴S。僅使用釣魚郵件、社交工程技術(shù)、自制的工具和后門程序，沙漠獵鷹就成功感染了成百上千個中東地區(qū)的重要敏感組織，利用其計算機(jī)系統(tǒng)或移動設(shè)備竊取敏感數(shù)據(jù)。如果有足夠的經(jīng)費(fèi)支持，他們還可能會獲得或開發(fā)出漏洞利用程序，提升他們的攻擊效率?！?/p>

（王蕊）