近幾年，網(wǎng)絡(luò)間諜攻擊事件時(shí)有發(fā)生。而背后有國家和政府支持的網(wǎng)絡(luò)間諜攻擊行動(dòng)更是演變得愈發(fā)復(fù)雜，其攻擊者可利用復(fù)雜的模塊化工具針對精心挑選的用戶發(fā)動(dòng)攻擊；同時(shí)，還能夠利用先進(jìn)的技術(shù)躲避有效的檢測系統(tǒng)。卡巴斯基實(shí)驗(yàn)室在針對Careto和Regin以及其他網(wǎng)絡(luò)間諜攻擊行動(dòng)的研究過程中，首先注意到這類攻擊所使用的策略趨勢，之后又在對EuqationDrug分析中確認(rèn)了上述最新趨勢。

據(jù)了解，EquationDrug是Equation網(wǎng)絡(luò)攻擊組織所開發(fā)的一款主要的網(wǎng)絡(luò)間諜攻擊平臺(tái)。這一平臺(tái)的應(yīng)用已經(jīng)超過10年，而且其正在逐步被先進(jìn)的GrayFish平臺(tái)所取代。

卡巴斯基實(shí)驗(yàn)室安全專家發(fā)現(xiàn)，隨著安全行業(yè)在揭露高級(jí)可持續(xù)性威脅（APT）組織方面取得越來越多的成績，很多非常復(fù)雜的網(wǎng)絡(luò)間諜攻擊者開始注重增加惡意平臺(tái)的模塊數(shù)量，從而減少惡意工具的可見性，提高其隱蔽性。

現(xiàn)在，最新的攻擊平臺(tái)包括很多插件模塊，可根據(jù)攻擊目標(biāo)和目標(biāo)信息選擇和執(zhí)行多種不同的功能。卡巴斯基實(shí)驗(yàn)室預(yù)計(jì)EuqationDrug包含116種不同的插件。

卡巴斯基實(shí)驗(yàn)室全球研究和分析團(tuán)隊(duì)總監(jiān)CostinRaiu進(jìn)一步解釋說：“得到政府支持的攻擊者試圖創(chuàng)造一種更為穩(wěn)定、隱身、可靠和通用的網(wǎng)絡(luò)間諜工具。他們想要?jiǎng)?chuàng)造一種能夠包含這類代碼的架構(gòu)，并且可以在實(shí)時(shí)系統(tǒng)上進(jìn)行定制，提供一種可靠的以加密形式存儲(chǔ)組件和數(shù)據(jù)的手段，而不同用戶則無法訪問其中的數(shù)據(jù)。這一架構(gòu)的復(fù)雜性使其有別于傳統(tǒng)的網(wǎng)絡(luò)罪犯，因?yàn)閭鹘y(tǒng)的網(wǎng)絡(luò)罪犯注重開發(fā)能夠直接獲取經(jīng)濟(jì)利益的惡意功能。”

這類背后得到國家和政府支持的攻擊者在攻擊策略方面不用于傳統(tǒng)的網(wǎng)絡(luò)罪犯。就攻擊規(guī)模而言，傳統(tǒng)的網(wǎng)絡(luò)罪犯會(huì)大規(guī)模地傳播包含惡意附件的郵件，或者感染網(wǎng)站。而得到國家和政府支持的攻擊者則傾向于進(jìn)行高度針對性的和精確的攻擊，每次攻擊僅感染小部分精挑細(xì)選的用戶。

不僅如此，二者所獨(dú)有的特點(diǎn)也截然不同。傳統(tǒng)的網(wǎng)絡(luò)罪犯經(jīng)常會(huì)重復(fù)使用那些公開的源代碼，例如知名的Zeus或Carberp木馬。而受到國家和政府支持的攻擊者通常會(huì)打造自己獨(dú)特的可定制惡意軟件，甚至還會(huì)在惡意軟件中設(shè)置限制措施，避免其被解密或在非攻擊目標(biāo)上運(yùn)行。

此外，二者采取不同的攻擊策略實(shí)施數(shù)據(jù)竊取。傳統(tǒng)的網(wǎng)絡(luò)罪犯通常會(huì)盡可能多的感染用戶。由于他們沒有時(shí)間和足夠的存儲(chǔ)空間檢查并分析所有受感染的計(jì)算機(jī)中所存儲(chǔ)的數(shù)據(jù)類型和運(yùn)行的軟件類型，傳統(tǒng)的網(wǎng)絡(luò)罪犯會(huì)將這些盜取到的數(shù)據(jù)進(jìn)行轉(zhuǎn)移，并保存其中具有潛在價(jià)值的數(shù)據(jù)。因此，他們會(huì)在惡意軟件中植入多種盜號(hào)程序，僅竊取重要的數(shù)據(jù)，如賬號(hào)密碼和信用卡信息。但是，這類行為很容易引起用戶計(jì)算機(jī)上所安裝的安全軟件的注意。與之相比，得到國家和政府支持的攻擊者則具有足夠的資源，能夠存儲(chǔ)任意多的數(shù)據(jù)。為了不被安全軟件所察覺，他們會(huì)盡量避免感染隨機(jī)用戶，而是依靠通用的遠(yuǎn)程系統(tǒng)管理工具，從受感染計(jì)算機(jī)上拷貝需要的數(shù)據(jù)。但是，這種大規(guī)模的數(shù)據(jù)傳輸行為，可能會(huì)拖慢網(wǎng)絡(luò)連接速度，從而引起用戶的懷疑。

CostinRaiu總結(jié)說：“雖然EquationDrug這種強(qiáng)大的網(wǎng)絡(luò)間諜平臺(tái)并沒有在惡意軟件的核心集成標(biāo)準(zhǔn)數(shù)據(jù)竊取功能，這似乎很不尋常。但是，其答案往往是攻擊者希望針對不同的受害者定制攻擊。只有在攻擊者決定監(jiān)控受害者，并且確保計(jì)算機(jī)上的安全軟件被關(guān)閉后，才會(huì)將相關(guān)插件上傳至受害者的計(jì)算機(jī)，實(shí)時(shí)監(jiān)控其對話或行為。我們認(rèn)為，模塊化和定制性將成為未來受到國家和政府支持的攻擊的獨(dú)有特征。”

卡巴斯基實(shí)驗(yàn)室針對家庭和企業(yè)用戶的產(chǎn)品均能成功攔截Euqation組織利用惡意軟件進(jìn)行的攻擊。而這主要?dú)w功于卡巴斯基實(shí)驗(yàn)室的自動(dòng)漏洞入侵防護(hù)技術(shù)。該技術(shù)能夠檢測和攔截惡意軟件利用未知漏洞進(jìn)行攻擊。根據(jù)推測，Equation平臺(tái)中所使用的Fanny蠕蟲應(yīng)該編譯于2008年7月，而卡巴斯基實(shí)驗(yàn)室的自動(dòng)漏洞入侵防護(hù)系統(tǒng)早在2008年12月就第一次檢測到該蠕蟲，并將其加入了黑名單。