以魔戒索倫為名!可能是另一個潛藏多年的國家級惡意程式

作者 | 發布日期 2016 年 08 月 10 日 18:24 | 分類 資訊安全 follow us in feedly

資安專家找到設計精良的惡意程式平台,而且一侵入系統就潛伏伺機偷窺機敏資料,看來極有可能是國家支持等級。這支惡意程式平台會避開重覆行為模式,避免被追蹤。由於程式碼內有跟魔戒小說黑暗魔王索倫的線索,又被稱為 ProjectSauron。




這支惡意程式平台,在 Kaspersky 實驗室登記造冊的名稱是 ProjectSauron,而 Symatec 那邊則是叫 Remsec。這兩家公司從 2011 年開始就追蹤這支惡意程式平台,目前已經在 30 個地方被資安專家發現。

由於程式碼內,有用到英國作家托爾金的小說,麼戒中的反派角色,黑暗魔王索倫的線索,而被稱做 ProjectSauron。另一方面也許指 ProjectSauron 侵入電腦之後,有像魔戒中的真知水晶一樣,有偷窺的效果。

projectsauron_eng_1-1024x378

▲ ProjectSauron 程式碼內有用到 SAURON 命名 Lua script,因而得名。

ProjectSauron 最令人驚奇的地方在於能潛入對外無網路連線,實體隔離的地方。透過特製、有一大塊虛擬磁區的隨身碟,無法被系統輕易偵測。雖然詳細的機制仍不清楚,像是是否有用到未公開的零時差漏洞,但 ProjectSauron 有至少 50 個模組,能夠組合應用,運用在不同的入侵情境。

Strider-infographic_0

▲ ProjectSauron 入侵的國家分布。

ProjectSauron 設計的時候不輕易露出蹤跡,不輕易使用相同的模式。像是不重覆使用相同伺服器、IP 位置,即便發現一次 ProjectSauron 的蹤跡,並無法用來當作找其他被 ProjectSauron 侵入的線索。顯然 ProjectSauron 從其他國家力量支持的專案學到教訓,經常改變數位足跡。

ProjectSauron 能潛伏 5 年時間不被發現,表示極有可能背後是國家力量支持的專案。而在感染 ProjectSauron 的電腦中,卻能看到 Regin,也許表示兩者背後是不同單位甚至是國家的力量。目前除了政府單位以外,被入侵的機構還有科研機構、軍事單位、電信服務商,以及金融機構。受害者分佈在俄羅斯、伊朗、盧安達、中國、瑞典、比利時,以及可能在一些說義大利語的國家。Symantec 則說他們在中國的航空公司,還有比利時的大使館找到這款惡意程式的蹤跡。

關鍵字: ,

發表迴響