安全研究人员剖析最新发现的恶意软件工具包“Flame”,认为这个恶意软件是由国家资助的攻击活动,并且可能是情报收集行动的一部分。
由卡巴斯基实验室发现的Flame出现在黎巴嫩、叙利亚、苏丹和以色列的个人用户系统中。卡巴斯基研究人员表示,这个恶意软件大小为20兆,是非常复杂的恶意软件,旨在从目标个人收集尽可能多的数据。该代码库与臭名昭著的Stuxnet蠕虫病毒或Duqu木马病毒不同,但是攻击者的目标和技术有相似之处。
“虽然它的功能不同,但其目标的地理位置和高针对性,以及对特定软件漏洞的使用,让我们不得不联想到最近由身份不明的肇事者在中东部署的‘超级武器’,”卡巴斯基实验室首席安全专家Aleks Gostev在对Flame的分析中写道,“Flame可以说是迄今为止发现的最复杂的威胁之一。它非常复杂,几乎重新定义了网络战争和网络间谍的概念。”
Flame可以让攻击者记录音频和键盘输入,窃取受害者机器上的文件和其他数据。同时,它还可以让攻击者直接控制,允许攻击者添加新功能,删除痕迹以逃避检查。卡巴斯基指出,从加密、插入功能以及编程语言来看,这个复杂的工具包是由资金充足的组织开发的。研究人员还没有确定这个恶意软件是如何传播的,以及是否利用了任何零日漏洞。
匈牙利CrySyS实验室的分析确定了这个Flame恶意软件工具包可能早在2010年就已经被使用。CrySyS(称这个恶意软件为Skywiper)表示,可能不是同一个开发团队,很可能是该组织聘请多个开发团队来实现相同的目标。
美国公司面临的风险
该恶意软件极具针对性,研究人员表示,它可能是一个更广泛的网络战争的一部分,旨在感染少数个人系统。在伊朗检测到不到200个感染系统,在中东和北非其他国家感染情况更少。
“当然,研究人员不得不承认这似乎是一个很有趣的恶意软件,”Spire Security公司研究主管Pete Lindstrom表示,“首席信息安全官们应该从专业的水平来看这个有趣的恶意软件。”
根据卡巴斯基实验室表示,没有迹象显示受该恶意软件感染的系统位于企业网络。20兆的大小让它很难在企业网络中保持隐身状态,Lindstrom表示,安全专业人员应该确定公司的安全软件能否识别这个恶意软件代码。日志审查也将有助于找出恶意代码。
Lidnstrom表示:“首席信息安全官应该仔细研究这个恶意软件的特征,以判断这种恶意软件是否能够感染他们的环境,以及他们应该如何应对这种攻击。”
Circle Network Security公司安全操作主管Andrew Storms表示,从技术的角度来看,为了防止受恶意软感染,需要进行很多反编译和分析工作。从更广泛的角度来看,这种威胁也表明首席信息安全官很难把握攻击者。
Storms表示:“我们在这里看到的是一个重大转变,曾经我们面对的是经典攻击者,而现在越来越多的证据表明,我们面对的是受国家资助的恶意软件和攻击活动。”
积极的首席信息安全官们会将注意力放在Flame构成的任何威胁上,但是更重要的是,继续注重基本安全措施,Storms表示,了解公司最重要的数据放在哪,知道谁能访问这些数据,并开展企业安全防御和检测。
“我觉得我们应该跳出网络战争的想法,只是将它定义为企业面临的风险,并确定潜在的威胁因素,”Storms表示,“这并不于网络战争,而是知识产权,以及你应该采取怎样的行动来保护会被偷走的资产。”
