CheckPoint:IoTroop僵尸网络与中国有关

标签:中国僵尸网络IOTroop

访客:60178  发表于:2017-11-02 08:30:12

以色列网络安全公司Check Point 10月29日发布技术报告指出, Reaper(又被称为IoTroop)恶意软件或出自中国间谍组织“黑色藤蔓”(Black Vine)之手。

Reaper恶意软件使用了Lua环境

Check Point的安全研究小组负责人Yaniv Balmas(亚历弗·巴尔马斯)表示,这款恶意软件的独特之处在于使用了Lua环境。Lua是一款轻量级的嵌入式编程语言,其目的是使脚本运行。

Balmas称,他们先前从未见过恶意软件使用Lua的案例。正是由于对Lua环境的利用,这款恶意软件变得十分敏捷,并具有高度适应性。Lua环境允许攻击者几分钟内从一种攻击转移到另一类攻击。Balmas认为Reaper可能会发起大规模DDoS攻击,接下来还可能会进行加密货币挖矿活动。他认为这款恶意软件的设计可圈可点,包含许多DDoS基础设施(例如C&C服务器等,其中许多设施以不专业的方式冗杂在一起),这一点与众不同。

CheckPoint:IoTroop僵尸网络与中国有关

Reaper开发人员使用的电子邮件域名通过电子邮箱li2384826402@yahoo.com注册 ,中国间谍组织“黑色藤蔓”(Black Vine)先前也曾使用过该邮箱。

Check Point在技术报告中指出,这一点还不足以判定Reaper僵尸网络就是“黑色藤蔓”所为,但这些信息为今后的研究提供了线索。

Balmas指出,这个电子邮箱可能为经销商所有,而经销商将域名出售给了Black Vine和Reaper。 

关于“黑色藤蔓”间谍组织的分析

赛门铁克公司2015年8月发布报告称有关“黑色藤蔓”的分析报告,指出该间谍组织曾对美国第二大医疗保险服务商Anthem发起攻击,当时近8000万员工和客户资料(包括姓名、生日、医保ID号、社会保险号、住宅地址、电子邮箱、雇佣情况、以及收入数据)被盗。

CheckPoint:IoTroop僵尸网络与中国有关

赛门铁克公司这份2015年的报告曾表示,Black Vine间谍组织早在2012年就出现了,它的攻击目标包括燃气轮机制造商、航空航天公司、医疗保险服务商等等,且惯用的是0day漏洞利用程序和自定义开发的恶意后门,并认为Black Vine与黑客组织“隐秘山猫”有所关联。当时,受Black Vine影响最大的地区是美国,其次是中国、加拿大、意大利、丹麦、印度。

Balmas表示,研究人员对攻击行径的揭示似乎并未起到让攻击者收手的效果。一般情况下,当安全公司披露公开此类网络犯罪行动时,攻击者会摧毁基础设施。而在这起案例中,确实有少量服务器停止运行,但第二天还会照常运行。

Balmas还补充称,恶意软件作者使用的服务器托管在美国、欧洲和远东地区。Check Point已与其中大多数互联网服务提供商取得联系,但目前尚未收到回复。

文章来源:E安全

评论(0)

您可以在评论框内@您的好友一起参与讨论!

--> --> -->
<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");