度解析Crouching Yeti網絡間諜行動

■王蕊

近日，卡巴斯基實驗室發表了一篇有關Crouching Yeti 網絡間諜行動的研究報告。該報告深度分析了Crouching Yeti所使用的惡意軟件和命令控制（C&C）服務器架構?？ò退够鶎嶒炇业难芯匡@示，Crouching Yeti 網絡間諜行動最早可以追溯到2010年末，并持續至今?，F在，每天都會有新的受害者遭受這一間諜行動的攻擊。

目前，全球范圍內已知的受害組織數量已經超過2800家。其中，經卡巴斯基實驗室研究人員證實的已達101 家。根據卡巴斯基實驗室的研究，大多數受害企業或組織來自美國、西班牙、日本、德國、法國、意大利、土耳其、愛爾蘭、波蘭和中國，并且屬于工業/機械制造業、制造業、制藥行業、建筑業、教育行業或信息技術行業。從這些受害組織的性質可以看出，Crouching Yeti 網絡間諜攻擊很可能造成機密信息泄漏，如商業機密和專業知識。不僅如此，卡巴斯基實驗室專家認為，Crouching Yeti 或許不僅能夠對特定領域的目標發動針對性攻擊，還是一種全面的監控行動，能夠攻擊并監視不同行業的企業和組織。

Crouching Yeti 究竟使用何種惡意工具對上述組織實施攻擊行動？卡巴斯基實驗室發現的證據表明，Crouching Yeti并非使用零日漏洞的復雜攻擊行動，卻潛伏多年，直至最近才被發現。此外，它使用五種惡意工具從受感染系統中竊取重要的信息和數據，分別是Havex 木馬、Sysmain 木馬、ClientX 后門程序、Karagany 后門程序和相關竊密程序、橫向移動和二級工具。其中，使用最廣泛的工具是Havex 木馬。它有兩個非常特殊的模塊，可用于從特定的工業IT 環境中收集和竊取數據。

至于為何將此次攻擊行動命名為Crouching Yeti，卡巴斯基實驗室首席安全研究員Nicolas Brulez 表示：“最初，Crowd Strike 根據自己的命名規則，將這次攻擊行動命名為Energetic Bear。其中的Bear 表明其屬性，因為Crowd Strike 認為這次攻擊行動的源頭在俄羅斯。卡巴斯基實驗室正在對現有線索進行調查，而且，目前沒有足夠的證據表明上述推測。此外，我們的分析表明，這次行動的攻擊目標遍及全球，而非之前認為的僅僅針對能源行業。根據這些數據，我們決定重新為其命名?！睋私猓ò退够鶎嶒炇业膶＜胰栽谕瑘谭C關和業內合作伙伴合作，針對這次攻擊行動進行研究和調查。