卡巴斯基實(shí)驗(yàn)室又發(fā)現(xiàn)一個(gè)全球性間諜組織

責(zé)任編輯:editor005

作者:簡(jiǎn)單

2015-10-10 13:37:14

摘自:FreeBuf

2013年,卡巴斯基實(shí)驗(yàn)室的安全專家披露一個(gè)針對(duì)游戲行業(yè)的網(wǎng)絡(luò)間諜活動(dòng),并且惡意程序還是用有效的數(shù)字證書簽名的。

2013年,卡巴斯基實(shí)驗(yàn)室的安全專家披露一個(gè)針對(duì)游戲行業(yè)的網(wǎng)絡(luò)間諜活動(dòng),并且惡意程序還是用有效的數(shù)字證書簽名的。間諜活動(dòng)的幕后威脅者叫做 Winnti group,其目標(biāo)是竊取游戲社區(qū)的虛擬貨幣和源代碼。

卡巴斯基實(shí)驗(yàn)室又發(fā)現(xiàn)一個(gè)全球性間諜組織

  攻擊范圍

據(jù)卡巴斯基發(fā)現(xiàn),Winnti group從2009年一直活躍至今,全球有超過30家游戲公司和在線游戲平臺(tái)都遭到該組織的攻擊。

據(jù)稱Winnti group是一個(gè)基于中國的間諜組織,其大部分攻擊目標(biāo)位于東南亞、德國、美國、日本、中國、俄羅斯、巴西、秘魯、白俄羅斯。2015年6月,卡巴斯基還搜集到一些證據(jù),表明Winnti group的攻擊范圍已經(jīng)從單純的游戲行業(yè)擴(kuò)大到了電信、制藥公司。

卡巴斯基實(shí)驗(yàn)室又發(fā)現(xiàn)一個(gè)全球性間諜組織

進(jìn)一步的分析發(fā)現(xiàn),Winnti group其實(shí)是被當(dāng)成攻擊平臺(tái)來感染目標(biāo)組織的系統(tǒng)。該APT組織使用的攻擊工具叫做“HDRoot”,是2006年開發(fā)出來的。至于Winnti group為什么會(huì)使用HDRoot工具?可能是2009年Winnti group成立時(shí),HDRoot的作者加入了Winnti group,也可能是Winnti group在地下市場(chǎng)上買到了該工具。

HDRoot被黑客用來在目標(biāo)系統(tǒng)上投放惡意后門,進(jìn)而可以持續(xù)性的進(jìn)行間諜活動(dòng)。安全研究員還發(fā)現(xiàn)HDRoot工具受 VMProtect保護(hù),而且在該攻擊案例中,攻擊者首先入侵了一個(gè)數(shù)字簽名公司——中國廣州元珞(音譯)科技公司,然后用它們的數(shù)字簽名來掩蓋HDRoot工具。

安全專家們發(fā)現(xiàn)了兩個(gè)HDRoot傳送的后門樣本,其中一個(gè)主要針對(duì)的是韓國公司;與此同時(shí),卡巴斯基還在美國和俄羅斯分別發(fā)現(xiàn)了這兩個(gè)版本的后門。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)