安全公司ESET的研究人員對代號“動物農(nóng)場”的APT黑客小組開發(fā)的高級間諜平臺Dino進行了一番深入細致的分析。

2014年3月，一家法國出版物發(fā)表了幾張斯諾登泄露的幻燈片時，動物農(nóng)場使用的一款惡意軟件便曝光于人前了。該幻燈片屬于加拿大通信安全局(CSE)，描述了一個代號為“雪景球行動”的任務(wù)。

文件揭示了行動中用到的一些工具和一份目標(biāo)組織清單，還提到行動背后的小組很有可能受到法國情報機構(gòu)的支持。

自從幻燈片曝光，很多安全公司獲取了有效惡意軟件樣本和與CSE在文件中所描述的類似的代碼。

過去幾個月里，ESET、Cyphort和G DATA的專家們在Babar、EvilBunny(Bunny)和Casper上發(fā)表了數(shù)篇文章。動物農(nóng)場所用的惡意軟件家族包括NBot、Tafacalou(TFC/Transporter)和Dino。

ESET表示，Dino是一款采用不同模塊實現(xiàn)其功能的高級后門。它的主要目的似乎是從被感染系統(tǒng)中盜取文件。ESET分析的樣本是2013年針對伊朗企業(yè)目標(biāo)使用的。

ESET 研究員瓊·卡爾維已經(jīng)跟蹤研究動物農(nóng)場好幾個月了，她在一篇博客文章中指出：Dino一名有可能出自動畫系列劇《摩登原始人》中的那條寵物恐龍。值得一提 的是，專家們認(rèn)為，Babar這個名字可能是受了一本法國兒童讀物中虛構(gòu)的大象形象的啟發(fā)，而Casper則有可能根植于卡通系列劇《鬼馬小精靈》的主 角。

該安全公司稱Dino的初始感染方式尚未查明，但懷疑它是由另一個程序安裝的。在3月份一篇關(guān)于動物農(nóng)場APT的博客文章中，卡巴斯基實驗室宣稱Tafacalou就是該黑客小組其他兩個更高級的間諜平臺Babar和Dino的入口點。

一旦感染系統(tǒng)，Dino可以根據(jù)指令從被感染主機上獲取系統(tǒng)信息，執(zhí)行Windows批處理命令，搜索指定文件，上傳文件到命令與控制服務(wù)器(C&C)或從(C&C)上下載文件。惡意軟件操作者還可以指定指令的執(zhí)行時間，以及從系統(tǒng)中卸載惡意軟件而幾乎不留下曾經(jīng)存在過的痕跡。

專家們已經(jīng)發(fā)現(xiàn)Dino與動物農(nóng)場惡意軟件家族里的其他威脅共享多段代碼，清晰標(biāo)識出其間的關(guān)聯(lián)性。而且，Dino還提供了更多的證據(jù)表明這些惡意軟件家族的開發(fā)者們是說法語的。

更新一些的動物農(nóng)場惡意軟件，比如偵察工具Casper，語言標(biāo)志符已經(jīng)被設(shè)置成了英語。但是，Dino里，語言代碼還是1036，也就是法語。值得注意的是，除非手動設(shè)置，否則編譯器會自動將該標(biāo)識符設(shè)置為與開發(fā)者主機的相同。

卡爾維指出，盡管法語語言代碼標(biāo)識符有可能是故意設(shè)置的假象，但更有可能的是開發(fā)者在編譯Dino時忘記更改語言標(biāo)識符的值了。

表明Dino開發(fā)者講法語的另一份證據(jù)是一個文件路徑，該路徑里包含了一個詞“arithmetique”，也就是英語“arithmetic(算法)”相對應(yīng)的法語詞匯。

研究人員強調(diào)：盡管Dino看起來像是由專業(yè)資深開發(fā)者創(chuàng)建的，他們并沒有將太大精力投入反分析功能，不像如Casper等其他動物農(nóng)場惡意軟件所呈現(xiàn)的那樣。