卡巴斯基实验室全球研究和分析团队发现了蓝白蚁(Blue Termite)——一种持续至少两年的针对日本数百家企业和组织进行攻击的网络间谍行动。攻击者的目的是获取机密信息,他们使用一种针对Flash player的零日漏洞和一种复杂的后门程序进行攻击,后门程序可针对每个受害者进行定制。这是卡巴斯基实验室首个发现的专门针对日本目标进行攻击的网络间谍行动,而且该攻击行动目前仍在继续。
目前,卡巴斯基实验室针对个人和企业用户的产品均能够成功检测和拦截Blue Termite所使用的恶意软件,卡巴斯基实验室产品已将其检测为Backdoor.Win32.Emdivi.*、Backdoor.Win64.Agent.*、Exploit.SWF.Agent.*、HEUR:Backdoor.Win32.Generic、HEUR:Exploit.SWF.Agent.gen、HEUR:Trojan.Win32.Generic、Trojan-Downloader.Win32.Agent.*和Trojan-Dropper.Win32.Agent.*。
2014年10月,卡巴斯基实验室研究人员遇到一个之前从未见过的恶意软件样本,其复杂性非常突出。进一步分析显示,该样本是一起大规模的复杂网络间谍攻击行动的一部分。受攻击的行业包括政府机构、重工业、金融行业、化工行业、人造卫星行业、媒体行业、教育机构、医疗机构、食品行业和其它行业等。根据调查结果,这起攻击行动持续时间约为两年。
据悉,蓝白蚁(Blue Termite)攻击者会使用多种技巧感染受害者。2015年7月之前,其主要使用鱼叉式钓鱼邮件,将恶意软件以邮件附件的形式发送出去,吸引受害者打开。但是,从7月开始,攻击者改变了他们的攻击策略,开始利用一种Flash零日漏洞(CVE-2015-5119,该漏洞于今年夏季在Hacking Team事件中被泄露)传播恶意软件。攻击者攻陷了多家日本网站,访问这些网站的用户会自动下载漏洞利用程序,造成自己的计算机被感染。这种攻击手段是一种路过式下载感染技巧。
2014-2015年的蓝白蚁(Blue Termite)感染率
利用零日漏洞进行感染后,使得相关恶意软件的感染率显著上升。卡巴斯基实验室的检测系统在7月记录到相关恶意软件感染率的变化。
此外,攻击者还试图对受害者进行分类。卡巴斯基实验室专家发现,一个属于日本政府的受干扰网站和另外一个包含恶意脚本的网站会过滤访问者,仅感染某个特定日本组织的IP。换言之,只有选定的用户会访问到恶意内容,并且被感染。
那么,蓝白蚁(Blue Termite)攻击者所使用的恶意软件和语言究竟有何特征?在成功感染计算机后,网络罪犯会在目标计算机上部署一个复杂的后门程序。这款后门程序能够窃取密码、下载和执行恶意组件,获取文件等。Blue Termite使用的恶意软件最有趣的一点是针对每个受害者,恶意软件都是独特的,并且只有在特定的计算机上才可以启动。根据卡巴斯基实验室研究人员研究,网络罪犯这样做的目的是让安全研究人员更难发现和分析恶意软件。
这起攻击的幕后黑手仍然是个谜。通常,对网络攻击进行定性是一项非常复杂的任务。但是,卡巴斯基实验室的研究人员还是收集到一些关于语言的蛛丝马迹。尤其值得注意的是,BlueTermite所使用的恶意软件的命令和控制服务器的图形用户界面以及一些技术文档均使用中文。这可能意味着幕后的攻击者所说的语言同样是中文。
卡巴斯基实验室研究人员收集到足够信息,确认BlueTermite是一起针对日本企业和组织的网络间谍攻击行动后,立刻通过公司代表将相关发现通知到当地的执法机关。由于Blue Termite攻击行动仍在进行,所以卡巴斯基实验室的调查也还在进行。
对于这一重大发现,卡巴斯基实验室高级研究员SuguruIshimaru表示:“虽然Blue Termite并不是我们发现的首个针对日本进行的网络间谍攻击行动,但却是卡巴斯基实验室发现的首个严格地仅攻击日本的网络间谍攻击行动。在日本,这种攻击仍然是一个严重的问题。从6月初开始,针对日本养老服务的网络攻击出现大量报道,多家日本机构开始部署保护解决方案。但是,Blue Termite幕后的攻击者同样关注相关报道,并且开始使用新的攻击手段,并且成功扩大了其影响。”
为了保护广大用户免受Blue Termite网络间谍攻击感染,卡巴斯基实验室的安全专家建议用户采取以下安全措施:
确保软件及时更新,尤其是常用软件以及经常被网络罪犯所利用进行攻击的软件;
如果你意识到自己设备上某款软件存在安全漏洞,但是目前还没有安全补丁可用,请避免使用该软件;
对包含附件的电子邮件保持警惕;
使用可信任的反恶意软件解决方案。卡巴斯基实验室针对个人和企业的安全产品采用屡获大奖的先进技术,能够全面保障用户的在线安全,免受各类复杂与新兴威胁。
