网络安全研究人员发现一种黑客工具,据称它是中国第二大网络攻击群体使用的间谍软件,专门对亚太各国的政府和企业进行监视间谍活动。 这些网络攻击活动并不频繁,因此很难发现。不过,这种攻击活动对于受害人来说其损失不亚于大范围恶意软件造成的损失。 上述的恶意软件名叫“Comfoo”,戴尔公司(Dell)网络安全专家称这种软件曾于2010年对澳洲企业进行过一次重大的攻击。在2010年,黑客们把钓鱼电邮发给存储巨头EMC的网络安全部门RSA里的下级职员,利用名为“Poison Ivy”的远程登录软件获取了资料库中的重要信息。黑客用这种简单但实用的手段轻易化解了被澳洲企业和政府广泛使用的双因素认证 (Two-factor authentication)账户保密法。 戴尔公司的网络安全部门Dell Secure Works的高级研究员杰克逊(Don Jackson)表示,虽然Poison Ivy是首轮攻击里被发现的主要恶意软件,但是Comfoo才是罪魁祸首。 “Comfoo是针对RSA的攻击里使用的几种黑客软件之一,但当时并未被命名。我们发现它是和Poison Ivy类似的另外一种后门软件,使用它的是一个来自中国的集团,我们称他们为‘北京集团’。”杰克逊表示。 上周五,该公司发布了一些称为“指示器”的数据,其中有域名和IP地址等信息,各企业可以对照这些数据来检查自己是否遭到过网络攻击。 使用Comfoo的“北京集团”和臭名昭著的中国黑客团体“APT1”齐名,最近遭到美国网络安全公司麦迪安(Mandiant)的点名谴责。APT成员通常猎取知识产权,他们会长期潜伏在目标的网络中,并努力不被发现。 “北京集团”最初盯上的是Adobe公司的Acrobat和PDF Reader这样的阅读编辑软件,利用软件打补丁前的漏洞发动攻击。 由于利润丰厚,这些人开始寻找更大的目标。不过,被攻击的公司也会逐渐熟悉黑客的手法做出应对。 令人意外的是,即使研究人员对一些公司发出被人盯上的警告,这些公司还是没能认识到问题的严重性。杰克逊说,通常从安全公司警告受害人,到他们真正拿出应对措施,中间的空隙长达6个月至1年之久。 |
