以色列網絡安全公司Check Point 10月29日發布技術報告指出, Reaper(又被稱為IoTroop)惡意軟件或出自中國間諜組織“黑色藤蔓”(Black Vine)之手。
Reaper惡意軟件使用了Lua環境
Check Point的安全研究小組負責人Yaniv Balmas(亞歷弗·巴爾馬斯)表示,這款惡意軟件的獨特之處在于使用了Lua環境。Lua是一款輕量級的嵌入式編程語言,其目的是使腳本運行。
Balmas稱,他們先前從未見過惡意軟件使用Lua的案例。正是由于對Lua環境的利用,這款惡意軟件變得十分敏捷,并具有高度適應性。Lua環境允許攻擊者幾分鐘內從一種攻擊轉移到另一類攻擊。Balmas認為Reaper可能會發起大規模DDoS攻擊,接下來還可能會進行加密貨幣挖礦活動。他認為這款惡意軟件的設計可圈可點,包含許多DDoS基礎設施(例如C&C服務器等,其中許多設施以不專業的方式冗雜在一起),這一點與眾不同。
Reaper開發人員使用的電子郵件域名通過電子郵箱[email protected]注冊,中國間諜組織“黑色藤蔓”(Black Vine)先前也曾使用過該郵箱。
Check Point在技術報告中指出,這一點還不足以判定Reaper僵尸網絡就是“黑色藤蔓”所為,但這些信息為今后的研究提供了線索。
Balmas指出,這個電子郵箱可能為經銷商所有,而經銷商將域名出售給了Black Vine和Reaper。
關于“黑色藤蔓”間諜組織的分析
賽門鐵克公司2015年8月發布報告稱有關“黑色藤蔓”的分析報告,指出該間諜組織曾對美國第二大醫療保險服務商Anthem發起攻擊,當時近8000萬員工和客戶資料(包括姓名、生日、醫保ID號、社會保險號、住宅地址、電子郵箱、雇傭情況、以及收入數據)被盜。
賽門鐵克公司這份2015年的報告曾表示,Black Vine間諜組織早在2012年就出現了,它的攻擊目標包括燃氣輪機制造商、航空航天公司、醫療保險服務商等等,且慣用的是0day漏洞利用程序和自定義開發的惡意后門,并認為Black Vine與黑客組織“隱秘山貓”有所關聯。當時,受Black Vine影響最大的地區是美國,其次是中國、加拿大、意大利、丹麥、印度。
Balmas表示,研究人員對攻擊行徑的揭示似乎并未起到讓攻擊者收手的效果。一般情況下,當安全公司披露公開此類網絡犯罪行動時,攻擊者會摧毀基礎設施。而在這起案例中,確實有少量服務器停止運行,但第二天還會照常運行。
Balmas還補充稱,惡意軟件作者使用的服務器托管在美國、歐洲和遠東地區。Check Point已與其中大多數互聯網服務提供商取得聯系,但目前尚未收到回復。
京公網安備 11010502049343號