沙虫漏洞为何自毁?揭秘俄罗斯黑客“沙虫团队”

  沙虫团队“自毁”漏洞是不希望其他黑客利用这个漏洞发起类似的攻击,同时也让此前的攻击更加难以追溯。

  趋势科技昨日发布了一个微软零日漏洞“沙虫”(CVE-2014-4114)的分析报告(参考阅读:零日漏洞沙虫如何进入你的系统),由于“沙虫”漏洞影响除Windows XP以外(之后)的几乎所有微软操作系统,且非常容易利用(藏身常见的PPT文件),属于高危漏洞,各位可以关注并及时更新微软昨日放出的安全补丁。

  阅后即焚的“沙虫”

  “沙虫”漏洞的名字来自使用该漏洞的一个俄罗斯黑客团伙——沙虫团队。实施攻击的俄罗斯黑客团伙显然都是科幻小说《沙丘》的爱好者,因此给自己的团队取名为“沙虫团队”。

  其实早在在趋势科技发布“沙虫”漏洞报告发布之前的9月份,俄罗斯黑客已经成功利用该漏洞监控乌克兰政府和北约组织。而且值得注意的是,“沙虫”漏洞是沙虫团队特意赶在微软每个月的补丁日前最后一刻故意泄露出来的,很明显,沙虫团队“自毁”漏洞是不希望其他黑客利用这个漏洞发起类似的攻击,同时也让此前的攻击更加难以追溯。

  可怕的沙虫漏洞虽然以“自曝”的方式将潜在损害和威胁降至最低,但此次攻击所呈现出的网络犯罪(战争)新模式和新趋势却值得所有信息安全专业人士思索。

  正如文章开头所言,“沙虫”漏洞利用起来非常简单,沙虫团队通过在鱼叉式钓鱼邮件附件中的含有利用“沙虫”漏洞恶意代码的PPT文件实施攻击,黑客同时还使用了常见的网络犯罪恶意软件工具BlackEnergy来混淆视听,让调查者误以为这是一起平常的DDoS攻击。

  难以追溯的“沙虫”

  iSight安全实验室的研究报告指出,“沙虫团队”实施攻击的目标主要有五大类:政府、学院、北约、能源机构和电信运营商。据iSight本周二发布的报告,受攻击对象遍及欧洲甚至美国。(沙虫漏洞袭击北约和欧盟Windows系统)

  沙虫的攻击目标虽然基本明确,但对于所有安全团队和安全专家来说,查找攻击源头才是最困难的工作之一,目前安全专家们还不能确证沙虫团队背后有俄罗斯政府的支持,同时由于沙虫团队没有参与地下黑市的信息交易,且窃取的文件目的不明,因此目前尚就其攻击目的和源头给出定论。

  据iSight的研究,自2009年诞生至今,黑客团队“沙虫”已经存在了五年之久。不止一家安全公司都在关注这个黑客团队。今年9月初,芬兰安全公司F-Secure曾在一份题为《BlackEnergy+沙虫,网络犯罪与APT攻击的融合》的报告(文章尾部下载报告原文)中给沙虫团队冠以“Quedagh”的代号。F-Secure的结论与iSight有所不同,在接受英国卫报采访时,F-Secure认为沙虫团队很可能是数字隐私海盗,平常偷窃信用卡数据发点小财,关键时刻也会应招入伍,做点国家黑客的事。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:前苏联国家信用卡犯罪活动创造了6.8亿美元市场