“网络间谍”是21世纪出现的又一种”网络攻击武器”。甚至任何一款看似毫无危害的移动应用都能够通过粗心大意的用户不经意间地泄漏数据,盗取相当数量的个人隐私信息。这些全方位的监测活动通常将大型企业和政府机关作为特定攻击目标。
就在今年秋天,卡巴斯基实验室最新发现了一种被冠以”Darkhotel”称号的间谍网络,竟然在许多亚洲酒店的网络内存在了长达7年的时间。此外,一些聪明的专业网络间谍门早已开发出了一款包含了各种用来入侵受害者计算机方法的全面”工具包”,以入侵受害者的计算机。
美国联邦调查局(FBI)在2012年最先提到了将酒店内住客作为攻击目标的网络犯罪行为。然而,其实早在2007年的时候,被用于Darkhotel间谍活动的恶意软件(即,Tapaoux)就已经在亚洲各大酒店出现了。通过对用来掌控该网络间谍活动的C&C服务器日志研究后,安全研究人员发现其中的连接最早可以追溯到2009年1月1日。综上所述,我们可以得出这样的结论:此类网络间谍活动已存在了相当长的一段时间。
# Darkhotel# 间谍活动似乎已存在了数年之久。
入侵受害者个人电脑的主要手段是通过在许多亚洲豪华酒店的Wi-Fi网络。这些网络犯罪分子主要利用存在于Adobe Flash和知名供应商的其它流行产品中的零日漏洞实施攻击。此类漏洞难以察觉,且事实证明这些间谍活动背后有着雄厚的资金支持,如此才能买得起如此昂贵的”网络攻击武器”,或者也有可能参与这些网络间谍活动的代理人拥有极其深厚的专业背景。也有可能两种情况同时存在。
上述所介绍的植入间谍软件方法是使用最频繁的一种,但并不是唯一,从这些网络犯罪分子的攻击手段来看,他们很可能由酒店本身所雇佣。此外,还可选择通过torrent客户端散播木马病毒,比如嵌入到中文版的成人漫画中。
因此,这些网络间谍还会利用有针对性的网络钓鱼,以及向政府雇员和非营利组织发送受感染的电邮等方式展开攻击。
除了利用零日漏洞以外,许多事实证明这些网络犯罪分子拥有高深莫测的洞察能力。他们甚至能够成功伪造安全凭证用于他们的恶意软件中。为了暗中监视受害者的通信渠道,网络犯罪分子采用了精密高端的键盘记录器。间谍软件在流行浏览器内部署集成组件以窃取密码。
令人惊讶的是,这些犯罪分子行事极其小心,并设计了许多方法以防范其恶意软件被侦测出来。首先,他们确保植入的病毒有相当长的一段’潜伏期’:木马病毒在入侵系统前,需要在C&C服务器内潜伏长达180天的时间。其次,一旦系统的语言改为韩语后,间谍程序即会自动销毁。
这些网络犯罪分子主要活动于日本、中国及台湾地区。卡巴斯基实验室能够侦测到在其它国家实施的网络攻击,就算犯罪分子离受害者所在国家距离遥远也能被侦测出。
卡巴斯基实验室首席安全研究员Kurt Baumgartner对Darkhotel评论道:”在过去的几年中,一款被称为”Darkhotel”的强大间谍软件针对众多名人成功实施一系列的网络攻击,所使用手段和技术水平不是一般的网络犯罪行为所能匹敌。这一威胁拥有自动运行功能以及数字和解密分析攻击能力,而所具有的其他优势足以随意利用受信任的商业网络,并将特定受害者类别作为攻击目标,其背后有着极强的商业策略目的。
The #Darkhotel espionage campaign: A story of unusual hospitality https://t.co/iXQykGmjwE
— Eugene Kaspersky (@e_kaspersky) November 10, 2014
最后我们可以信心满满地说:卡巴斯基实验室的产品能够查杀此类恶意程序及其用于”arkhotel工具包”的变异体。你可以访问Securelist.com阅读更多有关Darkhotel高级网络攻击的内容。