■王蕊
近日,卡巴斯基实验室发表了一篇有关Crouching Yeti 网络间谍行动的研究报告。该报告深度分析了Crouching Yeti所使用的恶意软件和命令控制(C&C)服务器架构。卡巴斯基实验室的研究显示,Crouching Yeti 网络间谍行动最早可以追溯到2010年末,并持续至今。现在,每天都会有新的受害者遭受这一间谍行动的攻击。
目前,全球范围内已知的受害组织数量已经超过2800家。其中,经卡巴斯基实验室研究人员证实的已达101 家。根据卡巴斯基实验室的研究,大多数受害企业或组织来自美国、西班牙、日本、德国、法国、意大利、土耳其、爱尔兰、波兰和中国,并且属于工业/机械制造业、制造业、制药行业、建筑业、教育行业或信息技术行业。从这些受害组织的性质可以看出,Crouching Yeti 网络间谍攻击很可能造成机密信息泄漏,如商业机密和专业知识。不仅如此,卡巴斯基实验室专家认为,Crouching Yeti 或许不仅能够对特定领域的目标发动针对性攻击,还是一种全面的监控行动,能够攻击并监视不同行业的企业和组织。
Crouching Yeti 究竟使用何种恶意工具对上述组织实施攻击行动?卡巴斯基实验室发现的证据表明,Crouching Yeti并非使用零日漏洞的复杂攻击行动,却潜伏多年,直至最近才被发现。此外,它使用五种恶意工具从受感染系统中窃取重要的信息和数据,分别是Havex 木马、Sysmain 木马、ClientX 后门程序、Karagany 后门程序和相关窃密程序、横向移动和二级工具。其中,使用最广泛的工具是Havex 木马。它有两个非常特殊的模块,可用于从特定的工业IT 环境中收集和窃取数据。
至于为何将此次攻击行动命名为Crouching Yeti,卡巴斯基实验室首席安全研究员Nicolas Brulez 表示:“最初,Crowd Strike 根据自己的命名规则,将这次攻击行动命名为Energetic Bear。其中的Bear 表明其属性,因为Crowd Strike 认为这次攻击行动的源头在俄罗斯。卡巴斯基实验室正在对现有线索进行调查,而且,目前没有足够的证据表明上述推测。此外,我们的分析表明,这次行动的攻击目标遍及全球,而非之前认为的仅仅针对能源行业。根据这些数据,我们决定重新为其命名。”据了解,卡巴斯基实验室的专家仍在同执法机关和业内合作伙伴合作,针对这次攻击行动进行研究和调查。