2017 年,一個名叫 Shadow Brokers 的神秘黑客團體,在網絡上公佈了名為“Lost in Translation”的數據轉儲,其中包含了一系列據稱來自美國國家安全局(NSA)的漏洞利用和黑客工具。
此後臭名昭著的 WannaCry、NotPetya 和 Bad Rabbit 勒索軟件攻擊,都基於這裡面提到的 EternalBlue 漏洞。現在,卡巴斯基研究人員又發現了另一座冰山,它就是一個名叫 sigs.py 的文件。(題圖 via ZDNet)
據悉,該文件是一個名副其實的情報數據寶庫。作為內置的惡意軟件掃描程序,黑客利用它來掃描受感染的計算機,以查找是否存在其它高級可持續威脅(APT / 通常指背後能量巨大的黑客團體)。
總 sigs.py 腳本包括了用於檢測其它 44 個 APT 的簽名,但在 2017 年洩密之初,許多網絡安全行業從業者並沒有對此展開深入研究,表明 NSA 知曉且有能力檢測和追蹤許多敵對 APT 的運行。
在上月的一份報告中,卡巴斯基精英黑客手雷部門 GReAT 表示,他們終於設法找到了其中一個神秘的 APT(通過 sigs.py 簽名的 #27 展開追蹤)。
研究人員稱,DarkUniverse 組織從 2009 到 2017 年間一直活躍。但在 ShadowBrokers 洩漏後,他們似乎就變得沉默了。
GReAT 團隊稱:“這種暫停或許與‘Lost in Translation’洩漏事件的發生有關,或者攻擊者決定改用更加現代的方法、開始藉助更加廣泛的手段”。
該公司稱,其已在敘利亞、伊朗、阿富汗、坦桑尼亞、埃塞俄比亞、蘇丹、俄羅斯、白羅斯、以及阿聯酋等地,找到了大約 20 名受害者。其中包括了民間和軍事組織,如醫療、原子能機構、以及電信企業。
不過,卡巴斯基專家認為,隨著時間的推移和對該集團活動的進一步深入瞭解,實際受害者人數可能會更多。至於 DarkUniverse 惡意軟件框架,卡巴斯基表示,其發現代碼與 ItaDuke 惡意軟件 / APT 重疊。
閱讀更多 cnBeta 的文章
