趋势科技(Trend Micro)的安全研究人员发现了一场活跃的网络间谍活动,迄今为止,已有100多个国家的政府部门、科技公司、媒体机构、学术研究机构和非政府组织的电脑遭到黑客攻击。
这一被趋势科技称为“安全”的行动,利用带有恶意附件的鱼叉式网络钓鱼邮件来锁定潜在受害者。该公司的研究人员对该操作进行了调查,并发表了一份研究论文周五公布了他们的研究结果。
[verizon年报:中国的网络间谍活动上升]
调查发现了两套命令和控制(C&C)服务器,它们似乎是两个独立的安全攻击活动,有不同的目标,但使用相同的恶意软件。
一项活动使用鱼叉式网络钓鱼邮件,内容与西藏和蒙古有关。这些邮件带有。doc附件,利用了微软在2012年4月修补过的Microsoft Word漏洞。
从这次行动的C&C服务器上收集的访问日志显示,共有来自11个不同国家的243个独特的受害者IP(互联网协议)地址。然而,研究人员发现,在调查期间,只有三名受害者仍在活动,他们的IP地址来自蒙古和苏丹。
研究人员说,第二次攻击对应的C&C服务器记录了来自116个不同国家的11563个唯一受害IP地址,但实际受害人数可能要低得多。他们说,平均有71名受害者在调查期间的任何给定时间都在积极地与这组C&C服务器通信。
第二次攻击活动中使用的攻击电子邮件尚未确定,但这次攻击活动的规模似乎更大,受害者在地理上分布更广。受害IP地址最多的5个国家是印度、美国、中国、巴基斯坦、菲律宾和俄罗斯。
安装在受感染电脑上的恶意软件主要是为了窃取信息,但它的功能可以通过附加模块来增强。研究人员在命令和控制服务器上发现了特殊用途的插件组件,以及可用于从Internet Explorer和Mozilla Firefox中提取已保存密码的现成程序,以及存储在Windows中的远程桌面协议(Remote Desktop Protocol)凭证。
趋势科技的研究人员在他们的论文中说:“虽然确定攻击者的意图和身份通常仍然很难确定,但我们确定,Safe的行动是有目标的,使用的是一名专业软件工程师开发的恶意软件,这些恶意软件可能与中国的地下网络犯罪有关。”“这个人在同一国家的一所著名技术大学学习,似乎可以访问一家互联网服务公司的源代码库。”
趋势科技的研究人员说,C&C服务器的运营商通过几个国家的IP地址访问它们,但最常见的是从中国和香港。“我们还看到了vpn和代理工具的使用,包括Tor,这有助于运营商IP地址的地理多样性。”