卡巴斯基：2018年度安全大事件盘点

一、概述

互联网此刻已经融入了糊口的方方面面，很多人在网长举办买卖营业、购物和交际，收集已经成为了贸易组织的生命线。当局、企业和斲丧者对技能的依靠，也为具有各类念头的进攻者提供了普及的进攻面——金融偷盗、数据窃取、基本办法粉碎、名望受损等等。收集进攻的范畴，从高度伟大的特定方针进攻，到机遇主义收集犯法。凡是，这两者都依靠于将生理学哄骗作为危害整个体系或小我私人计较机的方法。进攻者的方针不绝扩大，已经开始包围到一些不属于计较机的装备，譬喻儿童玩具和安详摄像头。本文首要针对2018年产生的重大变乱和安详趋势举办年度总结。

二、针对特定方针的进攻勾当

在本年内的安详说明师峰会上，我们说明白Slingshot，这是一个伟大的收集特工平台，从2012年以来一向对准中东和非洲的受害者。我们在威胁变乱中发明白这种威胁，该威胁与Regin和ProjectSauron相同。Slingshot行使了一种差异通俗的进攻载体，很多受害者受到被攻下的MikroTik路由器的进攻。攻下路由器简直切要领尚不清晰，但进攻者已经找到了向装备添加恶意DLL的要领：该DLL是其他恶意文件的下载措施，然后将其存储在路由器上。当体系打点员登录并设置路由器时，路由器的打点软件会在打点员的计较机上下载并运行恶意模块。Slingshot在受传染的计较机上加载了很多模块，个中最引入留意的两个模块是Cahnadr和GollumApp，它们别离是内核模式和用户模式的模块。二者配合提供耐久性、打点文件体系、走漏数据以及与C&C(呼吁和节制)处事器通讯的成果。我们查察的样本，标志为“版本6.X”，表白这一威胁已经存在相等长的一段时刻。

按照Slingshot的建设时刻、手艺和本钱表白，其背后的团队是高度组织化和专业化的，而且也许有国度配景。在平昌冬季奥运会开幕后不久，我们就收到了针对奥运会基本办法的恶意软件进攻陈诉。Olympic Destroyer进攻了一些表现器，封锁了Wi-Fi，攻下了奥运会网站从而阻止观众打印门票。进攻者还进攻了该地域的其他一些组织，譬喻一些韩国的滑雪胜地。Olympic Destroyer是一种收集蠕虫，其首要目标是从受害者的长途收集共享中擦除文件。在进攻产生后的几天中，基于此前收集特工和进攻团队的一系列特性，天下各地的研究团队和媒体将此次打击归罪为俄罗斯、中国和朝鲜。我们的研究职员也试图说明进攻的幕后黑手，在研究的进程中，我们发明Lazarus恶意组织好像与此次进攻相干。

我们发明，进攻者留下的一些奇异陈迹与此前Lazarus恶意软件的组件完全匹配。然而，我们在韩国一家受到进攻的组织举办现场观测时发明，此次进攻与已知的Lazarus TTP(战术)相比拟，其念头明明差异。我们发明响应的特性与代码无法彼此匹配，该进攻中的恶意软件被伪造成与Lazarus行使的指纹美满匹配。因此我们得出结论，其所行使的“指纹”是一个伟大的卖弄符号，存心安排于恶意软件内部，以便使威胁研究职员找到，从而误导他们。

我们继承追踪这一APT组织的勾当，并在本年6月留意到他们已经开始一个针对差异地理范畴的新型进攻。按照我们的长途监测和对鱼叉式收集垂纶文件的说明，表白在Olympic Destroyer背后的进攻者首要针对欧洲的金融行业和生物技能相干组织动员进攻，出格是俄罗斯、荷兰、德国、瑞士和乌克兰。在早期，Olympic Destroyer的首要方针是摧毁冬奥会及相干的供给链、相助搭档和场馆的基本办法，而且之前已经举办了一次侦查勾当。这样的证据表白，新的恶意勾当是另一个侦查阶段的一部门，随后会举办一系列具有新念头的粉碎性进攻。其针对的各类金融相干方针和非金融方针也表白，具有差异目标的多个恶意组织正在行使沟通的恶意软件。这也许是收集进攻外包的功效，这种环境在民族国度威胁中并不少见。然而，以金融为方针很也许也是恶意组织的一个“幌子”，从而袒护其真实的目标。

在本年4月，我们披露了Parliament勾当的运作环境，这是一项针对天下各地立法、行政和司法组织的收集特工勾当，首要齐集在中东和北非地域，出格是巴勒斯坦。这些进攻始于2017年头，首要针对议会、参议院、州当局及其官员、政治学家、军事和谍报机构、当局部分、媒体机构、研究中心、推举委员会、奥运组织、大型商业公司等。此次方针受害者差异于此前在该地域的恶意勾当(Gaza Cybergang和Desert Falcons)，而且在这次恶意进攻之前，恶意组织全心举办了信息网络勾当。在进一步传染之前，进攻者一向很是警惕的验证受害装备，从而掩护他们的C&C处事器。在2018年往后，进攻速率放缓，也许是因为进攻者已经实现了方针。

我们一连追踪Crouching Yeti(又名Energetic Bear)的恶意勾当，这是一个自2010年以来一向活泼的APT团体，首要以能源和家产公司为方针。该恶意组织面向环球各地动员进攻，但出格存眷欧洲、美国和土耳其，土耳其是该恶意组织在2016-2017年时代新增的方针。该恶意组织的首要计策是发送包括恶意文档的收集垂纶电子邮件，以及借助托管器材、日记和水坑进攻来传染处事器。美国CERT和英国国度收集安详中心(NCSC)已经果真接头过Crouching Yeti针对美国方针的恶意勾当。本年4月，卡巴斯基尝试室ICS CERT提供了有关被Crouching Yeti传染和恶意操作的处事器的信息，并提供了针对2016年和2017年头被该恶意组织攻下的几台Web处事器的说明功效。读者可以在这里查阅完备陈诉，但以下是我们总结的择要：

• 除了少少数破例环境，该恶意组织行使果真的器材来举办进攻。正因云云，使得按照进攻举动追溯到恶意组织的这一进程很是坚苦。
• 当进攻者但愿成立一个“跳板”，对方针办法开展进一步进攻时，互联网上任何存在裂痕的处事器都有也许受到进攻。
• 该恶意组织执行的大大都使命，都是探求裂痕、在种种主机上得到耐久性，以及窃取身份验证数据。
• 恶意进攻的受害者来自差异行业，同时也表白进攻者具有多种目标。
• 在某种水平上，可以确定该恶意组织的运营方法是接管外部客户的资金支持或接管订单，然后举办初始数据网络，窃取身份验证数据，并得到响应进攻资源的耐久性，以便进攻者进一步执行恶意勾当。

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!