我们在Kaspersky Daily上讨论恶意软件时(我们经常这样做),通常会根据我们的数据,选择影响到很多人的那种恶意软件。比如攻击了世界各地数以百万计用户的CryptXXX、TeslaCrypt及其他臭名昭著的恶意软件。只检测到的若干次的恶意软件通常不会太加以关注。世界上有大量的恶意软件,你知道的,我们不可能在一篇文章中一一讨论。
但凡事皆有例外。今天我们要谈论的恶意软件是EyePyramid。别想当然,这个名字可不是我们起的;而是作者的创意。我们之所以要讨论EyePyramid的原因是,它在同类软件中表现突出,整个案例有点像童话故事:一个小个子男人取得了伟大的成就(然而以失败告终)。
从事间谍活动的意大利家庭
首先,EyePyramid基本上算是一个家庭业务。恶意软件本身是45岁的意大利人Giulio Occhionero开发的。他持有核工程学位。他和姐姐Francesca Maria Occhionero(48岁)联手传播了这款恶意软件。他们在一家规模很小的投资公司Westland Investments工作。
根据意大利警方最近发布的报告,EyePyramid通过鱼叉式网络钓鱼进行分发,目标大多针对意大利政府人员以及共济会、律师事务所、咨询服务公司和大学成员,甚至包括梵蒂冈枢机主教。
目的是什么呢?这款恶意软件一旦安装后,会立即授予其作者访问权限,用于访问受害者计算机上的所有资源。它的唯一用途是收集信息,正如《SC Magazine》中指出的,据报告收集的这些信息随后被用于进行更赚钱的投资。这款恶意软件被用作分析师工具。我个人并不十分清楚投资和枢机主教有什么联系,但似乎犯罪分子相当清楚。
一方面受害者的身份比较高,另一方面意大利警方也未透露EyePyramid的细节情况,而只是公布了指挥控制(C&C)服务器的地址和若干电子邮件,这引起了我们GReAT专家的注意。所以他们决定自行调查。
菜鸟网络犯罪
根据警方报告中的信息,我们的分析师找到了多达44种EyePyramid样本,这为我们理解整个故事增加了很多的线索。一些媒体坚持认为EyePyramid很复杂、尖端。但其实并不是这样。事实上这只是一款非常简单的恶意软件。这两位犯罪分子采用的是非常直接的办法,比如用多个空格来掩盖含有恶意软件的可执行文件扩展名。这个把戏看似简单,却非常有效。
此外还发现,Occhioneros从事网络犯罪活动的时间相当长了 - 我们能够找到的最早的样本是在2010年。意大利官员称,这两名犯罪分子可能从2008年开始就在从事网络犯罪活动了。
这两人只是网络犯罪领域的业余爱好者,因此在保持操作安全性方面疏于防范。事实上,他们基本上对安全毫不在意,经常用电话(正如你所知道的,执法机构可以轻松窃听到这些内容)和WhatsApp(直到今年才采用了端到端加密)讨论被攻击对象,还留下了与其工作公司关联的IP地址的痕迹。
尽管如此,据意大利警方估计,他们也至少为所欲为了三年,甚至有可能超过八年。目标受害者达到16,000人,成功取得受害者计算机访问权限的次数达100多次。这些行动让他们获取了大量的信息 - 数亿字节的数据,很可能帮助他们改善了投资。
故事结局
这个案例再次肯定了投资教育(本案中是指学习操作安全性)能赚更多钱的理论。。1月10日,美国联邦调查局(FBI)逮捕了Giulio和Francesca Maria Occhionero,所以这款菜鸟恶意软件耀武扬威的日子结束了。
这款恶意软件能横行这么长时间乍一看很令人吃惊,但也许秘密就在于它非常简单,看上去实在没劲,因此未得到彻底调查。据卡巴斯基安全网络显示,尝试感染的次数只有92次,这和流行的勒索软件尝试感染次数相比,简直是沧海一粟。但不管怎样,罪犯被关进了监狱,天下太平了。