近日,ESET发布报告称,在针对物理隔离网络的17个间谍恶意软件框架的分析之后发现,这些软件全都利用了USB驱动器,并且都专门针对 Windows。其中13个恶意软件都是在长达15年的时间内逐个出现的,而另外4个则在去年一年最新涌现,这表明攻击者对物理隔离系统越来越感兴趣。
物理隔离网络被用来保护高度敏感的数据,这使得它们成为拥有充分资源的高级攻击者(例如国家黑客)垂涎的猎物。
事实上,已经发生的一些针对物理隔离系统的攻击被归因于国家黑客组织,例如 DarkHotel(Retro 和Ramsay框架)、Sednit(USBStealer)、Tropic Trooper(USBFerry)、Equation Group(Fanny)、Goblin Panda(USBCulprit)和野马熊猫(PlugX)。
而有些工具,例如Flame、miniFlame、Gauss、Agent.BTZ、ProjectSauron、Stuxnet病毒和USBThief与国家黑客的关系不是十分明朗(Agent.BTZ被认为是Turla的一部分),而Vault7收录的其他恶意软件框架(Brutal Kangaroo、Emotional Simian和EZCheese)还没有在野外检测到过。
在深入研究这些框架后,ESET 发现它们之间有很多相似之处,例如所有这些工具都针对 Windows系统进行某种形式的间谍活动,并且其中大多数都依赖恶意LNK或USB驱动器上的自动运行文件用于初始入侵或横向移动。
“尽管这些框架背后的威胁行为者多种多样,但他们都有一个共同的目的:间谍活动。甚至以其破坏性而闻名的 Stuxnet(震网病毒)也‘顺手’收集了受感染机器Siemens Simatic Step 7 工程软件项目中的信息。”ESET 指出。
报告还指出,大多数物理隔离系统攻击框架在公开披露后不久就变得不活跃,可能是因为它们的运营商停止使用它们。但也有可能是因为物理隔离系统上的反恶意软件解决方案没有更新并且无法再检测到它们。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
