来自Check Point软件技术公司的安全专家已经发现了一种新的网络间谍活动,被称为爆炸雪松,有针对性的数百个实体从至少10个国家(黎巴嫩,以色列,土耳其,英国,日本,美国等)。
黑客有可能从黎巴嫩操作,攻入国防承包商,电信运营商,教育机构和媒体集团的系统。
“这是我们第一次意识到一些来自黎巴嫩的一个演员的网络功能。这并不奇怪,迟早的事真的有人在政府还是在该领域的主要政治团体开发的能力之前,“ 解释沙哈尔塔尔,在Check Point软件技术漏洞研究经理。
专家们推测,爆炸雪松运动始于2012年年底,它仍然是积极的,在背后操作者的威胁仍然隐藏采用,使他们能够默默妥协目标尖端技术。
专家们注意到,黑客背后的爆炸雪松活动不使用鱼叉式网络钓鱼,既不偷渡式下载的攻击初期,而不是他们的目标Web服务器。
“鱼叉式网络钓鱼是预期的路要走,”塔尔说。“这实际上是进入网络的一个非常有效的方法。如果你有网络黑客技巧,你要得到的东西上的 Web服务器。一旦你的内部网络服务器,通常有很少的保护从外到内网去。“继续塔尔。
目前没有证据表明使用 零日漏洞。
攻击者使用定制的扫描仪和其他一些攻击工具,以确定在目标网站的缺陷。一旦破坏了系统的黑客提供一个Web弹后门在Web服务器上。特别是在情况下,Web服务器是微软的IIS,攻击者安装一个定制的Windows木马被称为爆炸。
爆炸是在爆炸雪松APT,它实现了数据窃取能力和击键记录功能,阿森纳的主要武器。恶意代码也用于损害网络内横向运动,专家们检测到的恶意软件的许多版本,包括最近发布的功能,实现了对散布在USB大容量存储设备。
“定制端口扫描器和其他几个攻击工具的残留物已被发现受害人的服务器上,导致我们相信,袭击者使用的最初感染的服务器作为支点手动蔓延至整个网络,”继续报告。
爆炸恶意软件呈现出模块化结构,专家Check Point的解释,它包含一个主可执行的二进制和后端API调用的DLL。
“该爆炸的DLL文件由主可执行动态加载在运行时它是必要的,并且当所述期望动作是完全卸载时,“规定的报告。“这种分离可能是设计用于支持快速的功能的补丁的攻击者,并避免启发式检测以共同的AV引擎和其他保护软件的主可执行的“。
爆炸雪松袭击者至少使用了三个不同版本的恶意软件在的时候,他们每个人实现了新的功能,以避免被发现。
由被黑客背后的爆炸雪松竞选爆炸恶意软件执行其他功能有:
- 监控防病毒检测结果。
- 监视内存消耗避嫌。
- 悬架对外通报,以避免被发现。
- 混淆通信。
- 使用 域名生成算法 (DGA)找到新的服务器。
Check Point的研究人员发现了大量在黎巴嫩的受害者,但受损的组织中也发现了以色列,土耳其,英国,日本,美国等国家。
谁是爆炸雪松的背后?网络犯罪或国家赞助的黑客?
复杂的高水平和有针对性的组织的性质带领专家怀疑这次行动是由运营 国家资助的黑客。
尽管调查还在进行中,爆炸雪松活动的运营商都已经反应后的Check Point共享其分析报告中,专家们发现,事实上,他们启动自毁指令,以从被感染的系统中删除恶意代码全球。