|
|
研究人員發(fā)現(xiàn)更多模塊的雷金間諜工具 遠(yuǎn)程控制軟件,灰鴿子下載
賽門鐵克的研究人員發(fā)現(xiàn)49新的惡意軟件程序模塊
從賽門鐵克安全研究人員已經(jīng)確定了49更多模塊的使用復(fù)雜的雷金間諜平臺,許多人認(rèn)為美國國家安全局及其親密盟友。
這會帶來的模塊總數(shù)到75年到目前為止,他們每個人負(fù)責(zé)實(shí)現(xiàn)特定功能,給攻擊者提供了更多的靈活性在如何利用個人目標(biāo)。
去年11月雷金曝光,但它一直在使用至少自2008年以來,反病毒公司知道它自2013年以來。
它是迄今發(fā)現(xiàn)的最復(fù)雜的惡意軟件和互聯(lián)網(wǎng)服務(wù)提供商已經(jīng)被用于目標(biāo),電信骨干運(yùn)營商、能源公司、航空公司、政府機(jī)構(gòu)、研究機(jī)構(gòu)和個人。
大多數(shù)感染檢測到賽門鐵克在俄羅斯和沙特阿拉伯,但破壞目標(biāo)也被發(fā)現(xiàn)在墨西哥,愛爾蘭、印度、阿富汗、伊朗、比利時、奧地利和巴基斯坦。
雷金模塊化的體系結(jié)構(gòu),它的創(chuàng)造者可以添加或刪除特定功能的惡意軟件程序根據(jù)他們的目標(biāo)和目標(biāo)。
一些像指揮控制通信模塊實(shí)現(xiàn)基本的惡意軟件功能,屏幕截圖,控制鼠標(biāo),竊取密碼,捕獲網(wǎng)絡(luò)流量,對受感染的計(jì)算機(jī)上運(yùn)行的程序收集信息,恢復(fù)刪除文件等等。
其他模塊更專業(yè)和建立具體目標(biāo)。”一個模塊是為了監(jiān)視網(wǎng)絡(luò)流量Microsoft Internet信息服務(wù)(IIS)web服務(wù)器,另一個是觀察收集管理交通移動電話基站控制器,而另一個是專門為解析郵件交換數(shù)據(jù)庫,創(chuàng)建“賽門鐵克的研究人員在周四發(fā)表的一個更新版本的白皮書。
惡意軟件也有復(fù)雜的指揮和控制的基礎(chǔ)設(shè)施,使用點(diǎn)對點(diǎn)通信之間的受感染的電腦,虛擬專用網(wǎng)絡(luò)和六個不同的傳輸協(xié)議,作為單獨(dú)的模塊:實(shí)現(xiàn)ICMP、TCP、UDP,HTTP Cookies,SSL,SMB。
盡管75年雷金模塊已經(jīng)發(fā)現(xiàn)到目前為止,可能有很多尚未被發(fā)現(xiàn)。
“其他一些雷金載荷存在因?yàn)槟承┠K分析包含引用,“賽門鐵克的研究人員周四在一篇博客文章說。
有確鑿的證據(jù)說明雷金是一個統(tǒng)一的計(jì)算機(jī)網(wǎng)絡(luò)開發(fā)(CNE)平臺代號WARRIORPRIDE美國情報(bào)機(jī)構(gòu)所使用、英國、加拿大、澳大利亞和新西蘭,稱為五只眼睛情報(bào)合作,灰鴿子使用教程。
WARRIORPRIDE,也稱為不怕死的在英國政府通信總部(GCHQ),描述的是一個秘密文檔由加拿大通信安全機(jī)構(gòu),泄露了國家安全局前承包商愛德華·斯諾登。
根據(jù)文檔,五只眼睛情報(bào)合作伙伴可以創(chuàng)建和共享平臺的插件。這將解釋存在很大數(shù)量的雷金模塊。
今年1月,德國新聞雜志《明鏡周刊》公布了一段名為QWERTY鍵盤記錄程序,它說可能是WARRIORPRIDE的一部分,是包含在斯諾登的泄露的秘密檔案。反病毒公司卡巴斯基實(shí)驗(yàn)室的研究人員后來得出結(jié)論,QWERTY相同雷金50251插件甚至代碼引用不同的雷金模塊。
盡管受到攻擊平臺,它不太可能,該集團(tuán)將停止操作,賽門鐵克的研究人員說。”其記錄和可用資源意味著它是可能的,該集團(tuán)將與一個新的威脅或升級更新裝備本身雷金為了逃避檢測。后者是最可能的行動,考慮到時間從頭開始開發(fā)一個同樣能力的惡意軟件框架。” |
|
加載中...
[復(fù)制鏈接]
發(fā)表于 2015-8-30 11:10:01
QQ好友和群
收藏
發(fā)表于 2015-9-24 11:05:52