![]()
一群可能与2009年对Google的攻击有关的数据窃贼已经利用至少八个以前未知的漏洞(通常被称为“零时差”)的漏洞来扩大其运营,以破坏国防承包商,供应商和供应商的系统。国防部门,人权组织和其他公司,安全公司Symantec在9月7日发布的报告中指出。
![]()
赛门铁克通过在源代码中找到一个变量后,使用了一套常用的工具和技术(该公司称为“ Elderwood”的攻击平台)来识别该组。该组织利用以前看不见的漏洞来破坏目标系统并安装称为Hydraq的恶意程序来控制计算机和窃取数据。虽然该组织使用目标电子邮件来渗透企业并欺骗员工运行其代码,但窃贼还破坏了被称为目标行业交流中心的网站,以感染内部人员,称为“水坑”攻击。
赛门铁克安全响应小组高级技术总监埃里克·基恩(Eric Chien)表示:“他们肯定在改变其方法,而对于这样做的原因还有很多疑问。” “他们可能发现较旧的技术不再起作用。”
赛门铁克在报告中详细说明了该小组可能已经运营了三年。2009年12月,Google声称它以及其他数十家公司遭到了一个利用Internet Explorer中的漏洞在其多台计算机上安装Hydraq的组织的攻击。几个月后,一个使用类似方法的小组利用Adobe Flash中的两个以前未知的漏洞攻击了技术和相关行业中的其他公司。
2011年9月,使用相同的方法攻击大赦国际网站的访客,今年,国防和其他技术公司也受到影响。
赛门铁克在分析总结中说:“我们的分析表明,过去几年中,有一个小组与其他组织一起一直在使用这些零时差攻击,针对性地攻击个人,公司,政府甚至整个部门。” 。
Chien说,“组”是一个灵活的术语,可以包含单个人群,也可以包含由通用攻击工具框架链接的许多组。最近对Stuxnet,Duqu和其他网络攻击的分析将许多程序与可能用于创建它们的框架联系在一起。
使用工具,技术和方法来识别攻击者是一种常见的方法。例如,赛门铁克将攻击与Google关联,发现这两个操作都使用恶意的Hydraq程序来控制计算机,并且都使用同一个打包程序,这是一种压缩和混淆恶意代码的方法,该公司在其他地方没有遇到过。
使用零日漏洞的利用漏洞的各种攻击由不同的常见元素链接在一起,包括在某些情况下,旨在使利用更加可靠的Shockwave Flash组件,在其他情况下,包括组合利用代码和所使用文件的通用方法。诱使受害者运行代码。
水坑攻击并不是全新的,至少可以追溯到2011年3月。安全公司RSA在7月讨论了自己对一个组织的调查,该组织使用该技术感染了马萨诸塞州和华盛顿特区的技术和金融公司。该小组使用与Elderwood小组相同的水坑攻击,但没有使用Hydraq Trojan,这表明这两个事件涉及不同的小组。
文章来源:广元晚报
![]()
