卡巴斯基(Kaspersky)實驗室指出,一個與數年前Duqu病毒類似的新病毒潛入其公司內部網路,並已取得公司的技術及研究資料。但卡巴斯基強調不影響客戶及合作夥伴安全。

Duqu是在2011年蔓延的一隻APT病毒,專門利用零時攻擊入侵企業網路。先前Duqu感染了包括伊朗、蘇丹等8個國家,和另一隻名為Stuxnet病毒同為由國家資助,專門攻擊能源等工業組織,造成嚴重災情。卡巴斯基在針對公司內部APT(進階持續滲透攻擊)防禦產品的測試中發現到有惡意活動,經分析,新病毒和2011年的Duqu是來自同一個組織,因此卡巴斯基稱之為Duqu 2.0

卡巴斯基分析指出,Duqu 2.0利用零時差漏洞發動多次攻擊,並升級至管理員權限,且利用系統管理員常用的MSI檔透過網路散佈到其他Windows電腦。由於Duqu 2.0並不會新建或修改任何磁碟檔或系統設定,因此非常難以偵測。

但選擇卡巴斯基為攻擊對象實在不是明智之舉,卡巴斯基表示,現在除了讓他們投入巨資開發多年的先進技術框架破功之外,他們千方百計所偷到的卡巴斯基技術……其實只要透過授權協議就可取得。

研究人員表示,相較於今年初發現的、歷來最高明的駭客團體Equation Group,Duqu 2.0有過之而無不及。它的惡意平台僅感染系統記憶體,而且只在記憶體中就可建立及管理整個間諜活動,無需任何持續性攻擊的「持久性」(persistence)機制。攻擊者似乎相信,即使受害者系統重開,記憶體惡意程式消失,攻擊者還是有辦法維持感染途徑。此外,相較於Equation Group所有惡意程式只使用同樣功能的同一種加密演算法,Duqu 2.0每次行動的加密演算法都不同。卡巴斯基認為,Duqu 2.0背後的組織的思維領先了現有其他APT攻擊者一個世代。基於Duqu 2.0高明的攻擊技巧及設計思維,以及它沒有竊取財務資訊的跡象,卡巴斯基認為這是一個由國家支持的攻擊行動。

Duqu 2.0進入卡巴斯基實驗室網路的主要目的是蒐集技術及研究資料,攻擊者尋找並分析卡巴斯基的APT技術及智慧財產,以及該公司相關產品資訊。卡巴斯基指出,除此之外,沒有跡象顯示有其他惡意活動,公司的流程或系統也未被干擾。因此卡巴斯基表示,客戶與合作夥伴並沒有受到影響。

卡巴斯基並發現,除了該公司之外,Duqu 2.0還感染了部份西歐、中東及亞洲國家,而從2014年以來,某些感染活動也入侵了P5+1(伊朗核子問題六方會談)的參與國家。

卡巴斯基建議電腦用戶,升級到最版防毒軟體及Windows作業系統,並且安裝最新的Windows修補程式。所有連網電腦,包括網域控制伺服器應重新開機以清除記憶體中的惡意程式。確保伺服器執行x64 Windows,可迫使攻擊者使用簽章過的驅動程式而現形。此外,應每1-2個月變更所有密碼,使用長度在20位以上的強密碼。(編譯/林妍溱)

 

熱門新聞

Advertisement