高科技
Flame 病毒的效仿者出现
[-]
今年早些时候,一个叫 Flame 的计算机病毒肆虐了伊朗,对伊朗发电厂的系统软件造成了巨大的破坏,甚至致使伊朗一度“消失”在了互联网上。而现在,从卡巴斯基实验室传来的消息,现在已经有了一个效仿 Flame 的病毒正在做着类似的事情,对“世界上至少一个电力部门”。
只不过这次不同的地方就在于,此病毒并不是官方放出的。
这个新病毒,有时被称作 Shamoon,有时叫 Disttrack,它包含一个名为 Wiper 的文件——这点和 Flame 一样。不过,Shammon 里的 Wiper 文件和 Flame 里的那一个,代码并不相同——这也是为什么相关领域的专家们认为此病毒是由一个效仿者写的。说得更明确一点,卡巴斯基相信这是脚本小子(script kiddies,是一个贬义词,用来描述:以“黑客”自居并沾沾自喜的初学者。脚本小子不像真正的黑客那样发现系统漏洞,他们通常使用别人开发的程序来恶意破坏他人系统。通常的刻板印象为一位没有专科经验的少年,破坏无辜网站企图使得他的朋友感到惊讶,因而称之为脚本小子)们的所作所为。Shamoon,和 Flame 一样,会在每台被感染的计算机上收集数据,然后开始擦除磁盘数据。之后,更进一步的是,这个病毒会使用一个 JPEG 文件碎片来覆盖磁盘,这就让恢复数据变成了几乎不可能的事情。
互联网安全公司 Seculert 认为此病毒最近的安装和运行性质为“被内部执行的两级攻击”(two-stage attack executed from inside):
攻击者首先对一个处于计算机内部的,能直接联网的部件取得控制,然后将计算机的这部分当作一个代理来使用,靠它连接到外部的 C2 (命令与控制)服务器。通过这个代理,攻击者能够感染更多外部的计算机,而那些计算机并不一定是和互联网直接连接上的。
一旦这种蓄意的内部感染行为完成了,攻击者就会运行 Shamoon 恶意软件,清除掉所有的恶意程式和从计算机里所盗取的数据。然后它通过这个代理将报告返回到外部的 C2 服务器。
目前还没有人知道 Shamoon 到底在对哪一个电力部门或发电站实施了破坏行为。但是 Ars Technica 指出,位于沙特阿拉伯的 Saudi Aramco 发电站上周就是 Shamoon 的攻击对象之一。总之,目前专家们能确定的就是这是有针对性的攻击,但是至于幕后主使是谁,以及此次蓄意攻击的原因,我们还无从知晓。
本文译自 : Gizmodo / 卡巴斯基实验室 ,由 keep_beating 编辑发布。