據(jù)報(bào)道,先前不為人知的網(wǎng)絡(luò)間諜組織‘Sowbug’浮出水面。該間諜組織至少自2015年開(kāi)始活躍,已對(duì)南美洲和東南亞國(guó)家的政府組織機(jī)構(gòu)發(fā)起高度針對(duì)性的攻擊,企圖竊取敏感數(shù)據(jù)。
Sowbug與“Felismus”木馬存在關(guān)聯(lián)賽門鐵克公司的安全研究人員發(fā)現(xiàn),Sowbug對(duì)阿根廷、巴西、厄瓜多爾、秘魯和馬來(lái)西亞等國(guó)的外交政策機(jī)構(gòu)、政府機(jī)構(gòu)和外交目標(biāo)發(fā)起隱蔽性攻擊。經(jīng)分析,Sowbug間諜組織使用一款名為“Felismus”的惡意軟件發(fā)起攻擊,滲透目標(biāo)。
惡意軟件Felismus拉丁語(yǔ)中,F(xiàn)elis指的是貓,Mus指的是老鼠。
“Felismus”是一款精心編寫(xiě)的遠(yuǎn)程訪問(wèn)木馬(RAT),自身具備的模塊化機(jī)構(gòu)能隱藏或擴(kuò)展功能。旦感染系統(tǒng)能夠進(jìn)行自我更新,具備極其高超的偽裝能力,能規(guī)避反病毒程序的檢測(cè),攻擊者能夠秘密執(zhí)行命令,例如鍵盤記錄、流量分析、進(jìn)一步部署惡意軟件等間諜活動(dòng)。除了能讓惡意攻擊者完全控制被感染的系統(tǒng),F(xiàn)elismus還允許攻擊者與遠(yuǎn)程服務(wù)器通信、下載文件并執(zhí)行Shell命令,因此攻擊者能執(zhí)行監(jiān)控、破壞或竊取數(shù)據(jù)等活動(dòng)。
研究人員發(fā)現(xiàn)這款RAT先前的攻擊活動(dòng)與Sowbug組織存在關(guān)聯(lián),這表明該組織2015年初已開(kāi)始活躍,甚至更早。
到目前為止,Sowbug似乎主要瞄準(zhǔn)南美和東南亞的政府機(jī)構(gòu),已經(jīng)滲透了阿根廷、巴西、厄瓜多爾、秘魯、文萊和馬來(lái)西亞等國(guó)的組織機(jī)構(gòu)。該組織是資源雄厚,能同時(shí)滲透多個(gè)目標(biāo),并經(jīng)常在目標(biāo)組織機(jī)構(gòu)工作時(shí)間以外的時(shí)間發(fā)起攻擊。
利用虛假的系統(tǒng)及應(yīng)用軟件更新雖然目前尚不清楚Sowbug黑客如何設(shè)法滲透網(wǎng)絡(luò),但研究人員收集的證據(jù)表明該組織利用了虛假的Windows或Adobe Reader惡意軟件更新。
研究人員還發(fā)現(xiàn),Sowbug使用Starloader工具在受害者的網(wǎng)絡(luò)上部署其它惡意軟件和工具,例如憑證轉(zhuǎn)儲(chǔ)工具(Credential Dumper)、鍵盤記錄器。Starloader文件作為軟件更新(名稱包括AdobeUpdate.exe、AcrobatUpdate.exe、 INTELUPDATE.EXE)傳播的證據(jù)。Sowbug并未感染軟件本身,而是將黑客工具的文件名稱命名為類似名稱。
Sowbug間諜組織利用這種騙術(shù)躲藏起來(lái),因?yàn)樗鼈儾灰滓饝岩伞owbug黑客采取措施在辦公時(shí)間以外秘密執(zhí)行網(wǎng)絡(luò)間諜行動(dòng)。2016年9月至2017年3月,在一起案例中,該間諜組織在目標(biāo)網(wǎng)絡(luò)潛伏長(zhǎng)達(dá)6個(gè)月之久。
除了Sowbug 在行動(dòng)中使用Felismus的散布方式以外,這支間諜組織的身份仍是一個(gè)謎。