卡巴斯基實(shí)驗(yàn)室的安全研究人員發(fā)現(xiàn)，攻擊者正在籌劃一個(gè)代號(hào)為“云圖”的新興網(wǎng)絡(luò)間諜活動(dòng)，而這與兩年前發(fā)生的全球大型間諜活動(dòng)“紅色十月”如出一轍。

??

[[124398]]

科普：關(guān)于“紅色十月”

在2012年10月，卡巴斯基實(shí)驗(yàn)室全球研究&分析團(tuán)隊(duì)發(fā)起了一項(xiàng)關(guān)于新威脅的研究，研究的目標(biāo)是目前針對(duì)各種國(guó)際外交服務(wù)機(jī)構(gòu)的網(wǎng)絡(luò)攻擊。在調(diào)查過(guò)程中，一個(gè)大型的網(wǎng)絡(luò)間諜網(wǎng)絡(luò)被揭露和分析，我們稱之為“紅色十月(RedOctober)”(來(lái)源于著名的小說(shuō)《獵殺紅色十月?)

Red October的攻擊者從數(shù)個(gè)國(guó)家的外交、政府、軍事、科研機(jī)構(gòu)、石油公司、貿(mào)易公司等中竊取了大量的機(jī)密信息，這些國(guó)家主要是東歐國(guó)家、前蘇聯(lián)成員國(guó)和中亞國(guó)家。

在卡巴斯基公開(kāi)揭露Red October的間諜活動(dòng)之后，該組織立即中斷了他們的行動(dòng)，還把他們攻擊時(shí)所使用的命令與控制(C&C)服務(wù)器報(bào)廢了。研究人員稱，像如此大規(guī)模的網(wǎng)絡(luò)間諜活動(dòng)，攻擊者們往往投入巨大，因而不會(huì)輕易罷手。于是僅僅在Red October暫停了數(shù)月后，改頭換面后的Red October——“云圖(CloudAtlas)”出現(xiàn)了。

??

[[124399]]

“紅色十月”和“云圖”的異同

自2014年8月份以后Red October就再也沒(méi)有出現(xiàn)過(guò)。近期研究者們檢測(cè)到一系列利用CVE-2012-0158而發(fā)動(dòng)的攻擊以及一個(gè)不同尋常的惡意程序，研究者們把這次的網(wǎng)絡(luò)攻擊活動(dòng)命名為“云圖(CloudAtlas)”。

研究者們注意到CloudAtlas與Red October有很多相似之處，如都使用了同種釣魚(yú)攻擊：都使用了名為Diplomatic Carfor Sale.doc的惡意文件，針對(duì)相同的攻擊目標(biāo)，使用相同的TTP(技術(shù)、策略和程序)，相同的攻擊工具。這么多相似之處，使我們不得不相信CloudAtlas就是Red October的“復(fù)刻版”。

??

利用云服務(wù)器作為攻擊設(shè)施

但是他們之間也有一些不同之處，如加密算法：RedOctober使用的是RC4，CloudAtlas使用的是AES。

專家們還發(fā)現(xiàn)了CloudAtlas的一些特別之處，CloudAtlas使用的命令與控制(C&C)服務(wù)器來(lái)自瑞典云供應(yīng)商CloudMe，也就是說(shuō)攻擊者利用云服務(wù)器與受害者的機(jī)器進(jìn)行網(wǎng)絡(luò)通信。云服務(wù)提供商CloudMe已在其官方Twitter上證實(shí)了這一點(diǎn)，他們現(xiàn)在正在關(guān)閉所有與CloudAtlas C2有關(guān)的賬戶。

??