國王幾乎赤裸裸地。經過幾個月的調查,卡巴斯基安全研究人員掌握了一系列像 Stuxnet 一樣複雜的間諜軟體,由一個他們稱為「方程式組織」的組織使用。該病毒至少從 2001 年就開始活躍,使用龐大的命令和控制伺服器網路(超過一百台),並已感染世界各地數以萬計的工作站。你就會明白:「方程式組織」的背後,其實隱藏著…美國國家安全局。卡巴斯基無法根據其掌握的要素確認這一點,即使有許多線索指向這個方向。然而,這一點得到了證實路透社由美國機構的前成員。因此,懷疑是不可能的。
在分析的六種間諜軟體程式中,有一種表現優於所有其他程序,因為它能夠對市場上幾乎所有硬碟的韌體進行重新編程(「刷新」):邁拓、西部數據、三星、東芝、希捷、日立、IBM、美光科技等出於什麼目的?安置一個超強抵抗力的間諜,普通凡人不可能除去。即使在完全格式化硬碟或重新安裝作業系統後,它仍然可以運作。這個硬碟重編程模組顯然不是用於大規模監視。據卡巴斯基稱,它的存在是“極為罕見”。它的用途可能是為了監視一些非常具體的目標。
註冊表中的隱藏檔案系統
但這不尋常的功能只是一個更廣泛的間諜平台的一個模組,卡巴斯基稱之為 GreyFish。一旦 Windows 電腦被滲透,它就會順利安裝並且幾乎不可見。事實上,為了在系統中站穩腳跟,GrayFish 感染了主引導記錄,這使得它能夠控制整個 Windows 啟動階段。電腦在系統啟動前就已受到損害。更好的是:當Windows啟動時,GrayFish會在註冊表中安裝一個自治的虛擬檔案系統,其中將容納所有間諜模組和要恢復的資料。顯然,所有內容都被永久加密,甚至是可執行文件,這可以防止您被防毒軟體偵測到。如果出現問題,GrayFish 會自毀。因此,就編碼而言,它是一件真正的藝術品。
為了感染受害者,方程式組織/美國國家安全局有多種可用的手段,首先是一種名為「Fanny」的電腦蠕蟲。它創建於 2008 年,使用了兩個零日漏洞,後來在著名的破壞軟體 Stuxnet 中發現,該軟體允許美國國家安全局破壞伊朗核計畫。為了進行傳播,Fanny 透過創建隱藏的儲存空間來感染 USB 金鑰。類似於的技術壞USB,SRLabs 研究人員發現的缺陷。
CD-ROM 是另一個感染管道。方程式組織間諜有能力攔截郵寄給受害者的光碟。卡巴斯基引用了兩個例子。在一個案例中,受害者訂購了休士頓一場專業會議的音訊/視訊記錄。抵達後,收到一包損壞的 CD-ROM。在另一種情況下,惡意軟體位於 Oracle 資料庫安裝 CD 上。卡巴斯基總共發現了七個導致目標工作站被感染的缺陷,其中四個當時是零日漏洞。該發布者還提到了 Firefox 17 和 Tor Browser Bundle 瀏覽器中迄今為止未知缺陷(可能是零日漏洞)的利用。
另請閱讀:
NSA 和 GCHQ 駭客竊取被盜數據,於 05/02/2015
來源:
