然而另一个政府资助的恶意软件
两者都有卡巴斯基和赛门铁克发现了另一个似乎是政府设计的恶意软件:
卡巴斯基实验室(Kaspersky Lab)的研究人员将该恶意软件称为“ProjectSauron”,赛门铁克实验室(Symantec-has)的研究者将其称为“Remsec”,自2011年以来,该恶意软件一直处于活跃状态,已在30多个目标上被发现。它能够在五年内不被发现地运行,这证明了它的创造者,他们明确研究了其他国家支持的黑客团体,试图复制他们的进步,避免他们的错误。
[…]
ProjectSauron之所以如此令人印象深刻,部分原因是它能够从运营商认为非常敏感的计算机上收集数据,以至于它们没有互联网连接。为此,恶意软件使用专门准备的USB存储驱动器,该驱动器具有Windows操作系统无法查看的虚拟文件系统。对于受感染的计算机来说,可移动驱动器似乎是经过批准的设备,但在幕后却保留了数百兆字节用于存储保存在“气封”机器上的数据。这种安排甚至适用于防止数据丢失软件阻止使用未知USB驱动器的计算机。
卡巴斯基的研究人员仍然不确定USB启用的渗出是如何工作的。不可见存储区的存在本身并不允许攻击者控制气封计算机。研究人员怀疑该功能仅在少数情况下使用,需要使用尚未发现的零日漏洞。总之,索伦项目由至少50个模块组成,可以混合和匹配,以适应每个感染的目标。
卡巴斯基研究人员在一份研究报告中写道:“一旦安装完毕,主要的项目索伦模块就开始作为“睡眠细胞”工作,不显示自己的活动,并等待传入网络流量的“唤醒”命令。”单独的博客帖子“这种操作方法确保了Project Sauron在目标组织的服务器上的持久性。”
我们不知道这是谁设计的,但它显然可能是一个拥有严重网络间谍预算的国家。
编辑添加(8/15):尼古拉斯·韦弗评论恶意软件及其含义。
标签:高级持续威胁,气隙,网络间谍,域名服务器,恶意软件
发布于2016年8月15日下午1:43•24条评论
