一個(gè)網(wǎng)絡(luò)間諜活動(dòng)的黑客小組自2010年起就開(kāi)始攻擊亞洲關(guān)鍵行業(yè)的公司,使用的后門(mén)是Bifrose。該后門(mén)的歷史可以上溯到2004年。
來(lái)自反病毒廠商趨勢(shì)科技的研究人員將該小組命名為 Shrouded Crossbow。自2010年起,這個(gè)黑客小組就開(kāi)始針對(duì)于政府有關(guān)的私人企業(yè)、政府承包商,以及來(lái)自消費(fèi)電子、計(jì)算機(jī)、醫(yī)療保健、金融領(lǐng)域的企業(yè)展開(kāi)攻擊。
該小組的行動(dòng)表明,從事網(wǎng)絡(luò)間諜活動(dòng)并不總是需要高昂的經(jīng)費(fèi)、零日漏洞和前所未見(jiàn)的惡意程序。黑客可以改進(jìn)舊的犯罪工具,并高效的完成攻擊。
該小組使用的工具中包括Kivar和Xbow等后門(mén)。這些后門(mén)是基于Biforse,或者根據(jù)它改寫(xiě)的,它們?cè)诘叵潞谑兄械膬r(jià)格大約是1萬(wàn)美元。
趨勢(shì)科技在博客中提到;“我們認(rèn)為出現(xiàn)的情況是這樣:該小組購(gòu)買(mǎi)了Bifrose的源代碼,在升級(jí)其功能之后,他們?cè)O(shè)計(jì)了新的安裝流程,開(kāi)發(fā)了新的Builder,以獲得獨(dú)一無(wú)二的加載器——后門(mén)配對(duì),并且讓后門(mén)的功能更加簡(jiǎn)潔有效。”
盡管Bifrose早已廣為人知,殺毒軟件也很容易檢測(cè)到它,這些措施仍能使該小組的黑客活動(dòng)保持有效性。
趨勢(shì)科技的研究者們表示,該小組存在一個(gè)有趣的情況:它至少由兩個(gè)團(tuán)隊(duì)組成,而很大可能會(huì)存在三個(gè)或以上的團(tuán)隊(duì)。研究人員是通過(guò)研究不同版本的開(kāi)發(fā)者ID發(fā)現(xiàn)這一點(diǎn)的。
二號(hào)團(tuán)隊(duì)負(fù)責(zé)選擇目標(biāo)、配置惡意軟件的參數(shù)、編寫(xiě)并發(fā)送魚(yú)叉式釣魚(yú)郵件。這些惡意電子郵件帶有惡意附件,內(nèi)容則被偽裝成新聞報(bào)道、簡(jiǎn)歷、政府?dāng)?shù)據(jù)、會(huì)議請(qǐng)求。
三號(hào)團(tuán)隊(duì)的工作可能是維護(hù)大量幕后服務(wù)器,這些服務(wù)器的數(shù)量有100多臺(tái),其使用的地址和域名通過(guò)一種有組織的方式進(jìn)行更新。研究者稱,該黑客小組一直在注冊(cè)新的域名。