Duqu 2.0 -2015-06-15
卡巴斯基實驗室發現並公佈了新的國家級監視系統的惡意軟體細節,稱為Duqu 2.0木馬。它被歸因於以色列。
以下有許多細節,且我建議閱讀他們。有可能涉及到Kerberos零日漏洞,允許攻擊者發送更新給卡巴斯基的客戶。目前有專門針對防毒軟體的程式碼,包含卡巴斯基和其他軟體。這個系統包含反竊聽防禦(anti-sniffer defense)和封包代碼注入(packet-injection code)。它被設計為存在於RAM中,使其更好的避免被偵測。這是非常複雜的。
Eugene Kaspersky撰寫了一篇專欄文章譴責其攻擊行為-使他的公司看起來不錯-差不多但不完全是,比起攻擊紅十字會來說。
在歷史上像我們一樣的公司總是對IT發展扮演重要的角色。當網路用戶和網路犯罪的數量爆炸性成長,對於數十億的網路用戶和連接設備已經演變成一個嚴重的威脅。對於數位時代的來臨,執法機構並未準備好,而私人保全公司是孤軍奮戰地防治網路犯罪,提供個人與企業的保護。這個保衛的群體一直像是網際網路的一群醫生;我們甚至與醫學界共享某些詞彙:我們談論「病毒」、「消毒」等等。很顯然地,我們正在幫助執法部門發展它的技能,以更有效對抗網路犯罪。
對於Duqu 2.0有一個非常好的連線文章(Wired article)讓我吃驚:
Raiu說每個感染開始的三個星期內,都在發生於那個特定位置的P5+1會議之前。『這不可能是巧合,很明顯這意圖是要刺探這些會議。』他說。
最初卡巴斯基不確定所有這些感染都有關,因為其中一個受害者似乎沒有成為核子談判的一部分。但在發現感染三週後,Raiu說,新聞媒體開始報導談判已經在網站上發生。『不知怎的,攻擊者事先知道,這是[協商]地點之一。』RAIU說。
攻擊者究竟如何暗中監視談判目前還不清楚,但是這個惡意軟體包含監聽WiFi網路的和劫持電子郵件通訊的模組。
那些會議都在談論關於伊朗的核子計畫,這也是我們先前認為是以色列窺探。看看攻擊的細節,雖然:駭進旅館網路,進入電話系統,並打開旅館電話進入房間的bug。這非常聰明。
本文為【平行與分散式處理實驗室】協助翻譯
原文網址:https://www.schneier.com/blog/archives/2015/06/duqu_20.html
Leave a Reply