近幾年，網(wǎng)絡(luò)間諜攻擊事件時有發(fā)生。而背后有國家和政府支持的網(wǎng)絡(luò)間諜攻擊行動更是演變得愈發(fā)復(fù)雜，其攻擊者可利用復(fù)雜的模塊化工具針對精心挑選的用戶發(fā)動攻擊；同時，還能夠利用先進(jìn)的技術(shù)躲避有效的檢測系統(tǒng)?？ò退够鶎嶒炇以卺槍areto和Regin以及其他網(wǎng)絡(luò)間諜攻擊行動的研究過程中，首先注意到這類攻擊所使用的策略趨勢，之后又在對EuqationDrug分析中確認(rèn)了上述最新趨勢。

據(jù)了解，EquationDrug是Equation網(wǎng)絡(luò)攻擊組織所開發(fā)的一款主要的網(wǎng)絡(luò)間諜攻擊平臺。這一平臺的應(yīng)用已經(jīng)超過10年，而且其正在逐步被先進(jìn)的GrayFish平臺所取代。

卡巴斯基實驗室安全專家發(fā)現(xiàn)，隨著安全行業(yè)在揭露高級可持續(xù)性威脅（APT）組織方面取得越來越多的成績，很多非常復(fù)雜的網(wǎng)絡(luò)間諜攻擊者開始注重增加惡意平臺的模塊數(shù)量，從而減少惡意工具的可見性，提高其隱蔽性。

現(xiàn)在，最新的攻擊平臺包括很多插件模塊，可根據(jù)攻擊目標(biāo)和目標(biāo)信息選擇和執(zhí)行多種不同的功能?？ò退够鶎嶒炇翌A(yù)計EuqationDrug包含116種不同的插件。

卡巴斯基實驗室全球研究和分析團(tuán)隊總監(jiān)CostinRaiu進(jìn)一步解釋說：“得到政府支持的攻擊者試圖創(chuàng)造一種更為穩(wěn)定、隱身、可靠和通用的網(wǎng)絡(luò)間諜工具。他們想要創(chuàng)造一種能夠包含這類代碼的架構(gòu)，并且可以在實時系統(tǒng)上進(jìn)行定制，提供一種可靠的以加密形式存儲組件和數(shù)據(jù)的手段，而不同用戶則無法訪問其中的數(shù)據(jù)。這一架構(gòu)的復(fù)雜性使其有別于傳統(tǒng)的網(wǎng)絡(luò)罪犯，因為傳統(tǒng)的網(wǎng)絡(luò)罪犯注重開發(fā)能夠直接獲取經(jīng)濟(jì)利益的惡意功能。”

這類背后得到國家和政府支持的攻擊者在攻擊策略方面不用于傳統(tǒng)的網(wǎng)絡(luò)罪犯。就攻擊規(guī)模而言，傳統(tǒng)的網(wǎng)絡(luò)罪犯會大規(guī)模地傳播包含惡意附件的郵件，或者感染網(wǎng)站。而得到國家和政府支持的攻擊者則傾向于進(jìn)行高度針對性的和精確的攻擊，每次攻擊僅感染小部分精挑細(xì)選的用戶。

不僅如此，二者所獨有的特點也截然不同。傳統(tǒng)的網(wǎng)絡(luò)罪犯經(jīng)常會重復(fù)使用那些公開的源代碼，例如知名的Zeus或Carberp木馬。而受到國家和政府支持的攻擊者通常會打造自己獨特的可定制惡意軟件，甚至還會在惡意軟件中設(shè)置限制措施，避免其被解密或在非攻擊目標(biāo)上運行。

此外，二者采取不同的攻擊策略實施數(shù)據(jù)竊取。傳統(tǒng)的網(wǎng)絡(luò)罪犯通常會盡可能多的感染用戶。由于他們沒有時間和足夠的存儲空間檢查并分析所有受感染的計算機(jī)中所存儲的數(shù)據(jù)類型和運行的軟件類型，傳統(tǒng)的網(wǎng)絡(luò)罪犯會將這些盜取到的數(shù)據(jù)進(jìn)行轉(zhuǎn)移，并保存其中具有潛在價值的數(shù)據(jù)。因此，他們會在惡意軟件中植入多種盜號程序，僅竊取重要的數(shù)據(jù)，如賬號密碼和信用卡信息。但是，這類行為很容易引起用戶計算機(jī)上所安裝的安全軟件的注意。與之相比，得到國家和政府支持的攻擊者則具有足夠的資源，能夠存儲任意多的數(shù)據(jù)。為了不被安全軟件所察覺，他們會盡量避免感染隨機(jī)用戶，而是依靠通用的遠(yuǎn)程系統(tǒng)管理工具，從受感染計算機(jī)上拷貝需要的數(shù)據(jù)。但是，這種大規(guī)模的數(shù)據(jù)傳輸行為，可能會拖慢網(wǎng)絡(luò)連接速度，從而引起用戶的懷疑。

CostinRaiu總結(jié)說：“雖然EquationDrug這種強大的網(wǎng)絡(luò)間諜平臺并沒有在惡意軟件的核心集成標(biāo)準(zhǔn)數(shù)據(jù)竊取功能，這似乎很不尋常。但是，其答案往往是攻擊者希望針對不同的受害者定制攻擊。只有在攻擊者決定監(jiān)控受害者，并且確保計算機(jī)上的安全軟件被關(guān)閉后，才會將相關(guān)插件上傳至受害者的計算機(jī)，實時監(jiān)控其對話或行為。我們認(rèn)為，模塊化和定制性將成為未來受到國家和政府支持的攻擊的獨有特征。”

卡巴斯基實驗室針對家庭和企業(yè)用戶的產(chǎn)品均能成功攔截Euqation組織利用惡意軟件進(jìn)行的攻擊。而這主要歸功于卡巴斯基實驗室的自動漏洞入侵防護(hù)技術(shù)。該技術(shù)能夠檢測和攔截惡意軟件利用未知漏洞進(jìn)行攻擊。根據(jù)推測，Equation平臺中所使用的Fanny蠕蟲應(yīng)該編譯于2008年7月，而卡巴斯基實驗室的自動漏洞入侵防護(hù)系統(tǒng)早在2008年12月就第一次檢測到該蠕蟲，并將其加入了黑名單。