本文嘗試列舉出由各國軍事情報(bào)處的網(wǎng)絡(luò)安全部門開發(fā)的比較危險(xiǎn)、有效也是特別聞名的惡意軟件清單，其中有些可以說早已盛名在外，另一些可能你還沒聽過……然而這正是它的危險(xiǎn)之處。

一、Regin

[[271181]]

Regin被認(rèn)為是有史以來國家級特別先進(jìn)的惡意軟件系列，由NSA開發(fā)，并與其五眼聯(lián)盟合作伙伴(主要是GCHQ)共享。

在2014年被公開披露，但最早的樣本可以追溯到2011年，但也有一些人懷疑Regin早在2003年就被創(chuàng)建了。

一些已為人知的Regin野外部署案例包括比利時(shí)電信公司，德國政府反動(dòng)，以及最近的一個(gè)案例，俄羅斯搜索巨頭Yandex。

在技術(shù)層面上，安全研究人員認(rèn)為Regin是迄今為止最先進(jìn)的惡意軟件框架，它具有數(shù)十個(gè)功能模塊，其中絕大多數(shù)模塊都是圍繞監(jiān)控操作設(shè)計(jì)，保證感染主機(jī)后也不被發(fā)現(xiàn)。

二、Flame

[[271182]]

當(dāng)它在2012年被發(fā)現(xiàn)時(shí)，安全研究人員并沒有準(zhǔn)確地用“惡意軟件”這個(gè)詞來描述Flame。當(dāng)時(shí)，F(xiàn)lame非常先進(jìn)以至于大家都愿意稱之為“攻擊工具包”。

Flame有點(diǎn)類似它的“大哥”Region，也是在框架之上工作的模塊集合，根據(jù)操作員所需要的特性進(jìn)行部署。

2012年，伊朗國家認(rèn)證中心的MAHER Center在針對伊朗政府機(jī)構(gòu)的襲擊中發(fā)現(xiàn)了Flame。而這一發(fā)現(xiàn)和stuxnet惡意軟件攻擊時(shí)隔兩年，并很快與方程式組織(美國國家安全局的代號)聯(lián)系到了一起。后來在針對其他中東政府的襲擊中也發(fā)現(xiàn)了Flame。目前，F(xiàn)lame的維基百科頁面保存了所有與flame相關(guān)的發(fā)現(xiàn)。

三、Stuxnet

[[271183]]

Stuxnet是名單上唯一一個(gè)擁有自己的紀(jì)錄片的惡意軟件。

該惡意軟件是在2000年代由美國國家安全局和以色列8200部隊(duì)(以色列軍方的網(wǎng)絡(luò)部門)共同共同開發(fā)的。2010年在伊朗部署，作為兩國致力破壞伊朗核計(jì)劃的一部分。

據(jù)說，Stuxnet在釋放時(shí)使用了四個(gè)不同的零日漏洞，被專門編碼為工業(yè)控制系統(tǒng)。它的作用是通過提高和降低轉(zhuǎn)子速度來修改控制核濃縮操作的離心機(jī)的設(shè)置，最終引起振動(dòng)并破壞機(jī)器。

這個(gè)惡意軟件很成功，據(jù)說已經(jīng)感染了20多萬臺(tái)計(jì)算機(jī)，最終在伊朗納坦茲核設(shè)施摧毀了近1000臺(tái)離心機(jī)。

四、Shamoon

[[271184]]

Shamoon是名單上第一個(gè)非美國開發(fā)的惡意軟件，它是由伊朗國家黑客開發(fā)，2012年首次部署在沙特阿拉伯最大的石油生產(chǎn)商沙特阿美石油公司的網(wǎng)絡(luò)上。在2012年的攻擊中，一個(gè)數(shù)據(jù)雨刷器，摧毀了超過30000臺(tái)電腦。

2016年，針對同一目標(biāo)，它進(jìn)行了第二次部署，最近，則是被部署在了意大利石油和天然氣承包商Saipem上，據(jù)稱摧毀了該公司10%的PC機(jī)隊(duì)。

五、Triton

[[271185]]

Triton，也稱為Trisis，是最近添加到名單里的，這個(gè)惡意軟件被認(rèn)為是由俄羅斯研究實(shí)驗(yàn)室開發(fā)。

Triton在 2017年部署，是專門為Schneider Electric的Triconex安全儀表系統(tǒng)的控制器交互而設(shè)計(jì)的。根據(jù)Fireeye、Dragos和Symantec的技術(shù)報(bào)告，Triton的設(shè)計(jì)目的是關(guān)閉生產(chǎn)流程或允許Tricon控制的機(jī)器在不安全狀態(tài)下工作。惡意軟件的代碼泄露，最終在Github上發(fā)布。

六、Industroyer

[[271186]]

Industroyer也稱為CrashOverride，是俄羅斯國家黑客開發(fā)的惡意軟件框架，2016年12月部署在針對烏克蘭電網(wǎng)的網(wǎng)絡(luò)攻擊中。

這場攻擊切斷了烏克蘭首都基輔一部分的電力，并持續(xù)了一個(gè)小時(shí)之久。該惡意軟件被認(rèn)為是Havex和Blacknergy等的進(jìn)化(它們也曾被用來攻擊烏克蘭電網(wǎng))。然而，與Havex和Blacknergy不同，它們更像是針對管理工業(yè)系統(tǒng)部署的Windows通用惡意軟件，而Industroyer則是專門設(shè)計(jì)了與西門子電網(wǎng)設(shè)備交互的組件。

七、Duqu

[[271187]]

Duqu被認(rèn)為是以色列臭名昭著的8200軍事網(wǎng)絡(luò)單位所建立的，2011年匈牙利安全研究人員在發(fā)現(xiàn)了Duqu，其第二個(gè)版本又于2015年被發(fā)現(xiàn)，代號為duqu 2.0。

第一個(gè)版本幫助stuxnet攻擊，第二個(gè)版本則危害俄羅斯防病毒公司kaspersky lab的網(wǎng)絡(luò)。在美國/歐盟與伊朗就核計(jì)劃和經(jīng)濟(jì)制裁進(jìn)行國際談判的奧地利和瑞士酒店的計(jì)算機(jī)上，同樣也發(fā)現(xiàn)了duqu 2.0。

八、PlugX

[[271188]]

PlugX首次出現(xiàn)在2012年，是一個(gè)來源于中國黑客的遠(yuǎn)程訪問特洛伊木馬(RAT)。

被發(fā)現(xiàn)以后，中國黑客似乎彼此共享了這個(gè)軟件，現(xiàn)在它被廣泛應(yīng)用于中國國家組織，以至于直接將其歸為一個(gè)群體并不是容易的事情。

這里有一個(gè)關(guān)于plugx的技術(shù)報(bào)告。

九、Winnti

Winnti和PlugX非常相似。這是另一個(gè)中國制造的APT惡意軟件病毒，最初由一個(gè)群體使用，但隨著時(shí)間的推移，逐漸在中國所有APT中共享。

該惡意軟件自2011年發(fā)展至今，被稱之為模塊化后門木馬。 安全研究人員最近還發(fā)現(xiàn)了Linux變種。

Winnti和PlugX非常相似。這是另一個(gè)中國制造的APT惡意軟件病毒，最初由一個(gè)群體使用，但隨著時(shí)間的推移，逐漸在中國所有APT中共享。

該惡意軟件自2011年發(fā)展至今，被稱之為模塊化后門木馬。 安全研究人員最近還發(fā)現(xiàn)了Linux變種。

十、Uroburos

[[271189]]

Uroburos是由臭名昭著的Turla集團(tuán)開發(fā)的rootkit，要知道Turla集團(tuán)是世界上最先進(jìn)的民族國家黑客組織之一，和俄羅斯政府有一些聯(lián)系。

根據(jù)G DATA報(bào)告，“rootkit能夠控制受感染的計(jì)算機(jī)，執(zhí)行任意命令并隱藏系統(tǒng)活動(dòng)。”

Uroburos(也稱為Turla或Snake rootkit)被廣泛部署，并且非常有效，因?yàn)樗哪康姆浅Ｃ鞔_：獲得持久啟動(dòng)并下載其他惡意軟件。

Uroburos是Turla APT攻擊的核心部分，早在2008年就出現(xiàn)在歐洲，美國和中東的受感染計(jì)算機(jī)上，目標(biāo)通常是政府機(jī)構(gòu)。它曾經(jīng)先后出現(xiàn)在45個(gè)國家，并且在 2014年還發(fā)現(xiàn)了Linux變體。

十一、ICEFOG

[[271190]]

ICEFOG是另一個(gè)曾被一個(gè)集團(tuán)使用的中國惡意軟件，后來被其他人共享和重用。

ICEFOG于2013年首次亮相，在過去兩年卷土重來，推出了新版本，甚至是Mac版本。更多地可以見報(bào)道。

十二、WARRIOR PRIDE

[[271191]]

WARRIOR PRIDE是由美國國家安全局和英國GCHQ共同開發(fā)，作為清單中唯一的移動(dòng)惡意軟件。它適用于Android和iPhone，在2014年Snowden泄露期間被發(fā)現(xiàn)。

至于功能，iPhone的變體遠(yuǎn)比Android的變體先進(jìn)。它可以從受感染的主機(jī)中檢索任何內(nèi)容，通過靜默啟用麥克風(fēng)來收聽附近的會(huì)話，甚至可以在手機(jī)處于睡眠模式時(shí)工作。

十三、Olympic Destroyer

[[271192]]

在2018年平昌冬季奧運(yùn)會(huì)開幕式期間，Olympic Destroyer被部署在網(wǎng)絡(luò)上，電視臺(tái)和記者大多受到這次襲擊事件的影響。

據(jù)稱，Olympic Destroyer是由俄羅斯黑客創(chuàng)建，對國際奧委會(huì)的一場報(bào)復(fù)，原因是反抗俄羅斯運(yùn)動(dòng)員參加冬季奧運(yùn)會(huì)的興奮劑指控，以及禁止其他人在俄羅斯國旗下的競爭。

惡意軟件本身就是一個(gè)信息竊取程序，它將應(yīng)用程序密碼轉(zhuǎn)儲(chǔ)到受感染的系統(tǒng)上，使得黑客用它來升級對系統(tǒng)的訪問權(quán)限，此后他們觸發(fā)數(shù)據(jù)擦除攻擊，導(dǎo)致一些服務(wù)器和路由器崩潰。在攻擊發(fā)生幾個(gè)月后，即2018年6月，新的Olympic Destroye版本再次被發(fā)現(xiàn)。

十四、VPNFilter

[[271193]]

VPNFilter是名單中唯一為感染路由器而創(chuàng)建的APT惡意軟件。它是由俄羅斯國家黑客開發(fā)，在即將舉行2018年歐洲冠軍聯(lián)賽決賽的烏克蘭進(jìn)行了提前部署。

原定計(jì)劃是在決賽的現(xiàn)場實(shí)時(shí)傳輸過程中部署惡意軟件和損壞路由器，類似于在2018年平昌冬季奧運(yùn)會(huì)開幕式期間Olympic Destroyer的攻擊方式。

幸運(yùn)的是，思科Talos的安全研究人員看到VPNFilter僵尸網(wǎng)絡(luò)正在組裝，并在FBI的幫助下將其取下。據(jù)FBI稱，該惡意軟件是由Fancy Bear APT創(chuàng)建的。

十五、WannaCry

[[271194]]

盡管原因各不相同，但2017年的三次勒索軟件爆發(fā)都是由民族黑客開發(fā)的惡意軟件。

第一個(gè)是WannaCry勒索軟件，由朝鮮黑客開發(fā)，其唯一目的是感染受害者并收集平壤政權(quán)的贖金，因?yàn)楫?dāng)時(shí)該政權(quán)受到嚴(yán)厲的經(jīng)濟(jì)制裁，為了減輕制裁的影響，該政權(quán)就利用國家黑客搶劫銀行，開采加密貨幣或運(yùn)行勒索軟件來收集資金。

然而，WannaCry代碼中存在的問題使得它不僅僅傳播到本地網(wǎng)絡(luò)，勒索軟件的內(nèi)部自我復(fù)制(蠕蟲)組件還變得混亂并且感染了所有可見的東西，導(dǎo)致了全球的爆發(fā)。

十六、NotPetya

在WannaCry事件兩個(gè)月后，第二次勒索軟件爆發(fā)席卷全世界。這個(gè)勒索軟件被稱為NotPetya，由俄羅斯的Fancy Bear(APT28)組織編碼，最初只在烏克蘭部署。

然而，由于共享網(wǎng)絡(luò)和企業(yè)VPN導(dǎo)致了NotPetya在全球范圍內(nèi)傳播，和WannaCry類似，造成了數(shù)十億美元的損失。NotPetya也是使用EternalBlue漏洞作為其蠕蟲組件的核心部分。  

十七、Bad Rabbit

2017年的最后一次全球勒索軟件爆發(fā)，也是國家黑客帶來的。就像NotPetya一樣，Bad Rabbit也是俄羅斯黑客的作品，他們同樣在烏克蘭部署了它，隨后在全球范圍內(nèi)傳播，盡管和WannaCry、NotPetya相比，影響較小。

Bad Rabbit與NotPetya不同，它沒有使用EternalBlue作為其主要傳播機(jī)制，并且還包括許多權(quán)力的游戲參考。

十八、EternalBlue

[[271195]]

EnternalBlue本身可能并不是惡意軟件，在這個(gè)詞的經(jīng)典含義中，更多的是一種利用，當(dāng)然，它仍然是由國家開發(fā)的，算是符合這份清單。EnternalBlue由美國國家安全局創(chuàng)建，并于2017年4月公開，結(jié)果，當(dāng)時(shí)有一群名為The Shadow Brokers的神秘黑客在線發(fā)布了該代碼。

發(fā)布之后，它是先被用于加密貨幣挖掘活動(dòng)，而真正成為一個(gè)廣為人知和可識(shí)別的術(shù)語，是在它被嵌入到2017年三個(gè)勒索軟件爆發(fā)的代碼中，即WannaCry，NetPetya和Bad Rabbit。

從那以后，EternalBlue一直沒有消亡，并且被各種網(wǎng)絡(luò)犯罪行為廣泛使用，通過利用Windows計(jì)算機(jī)上錯(cuò)誤配置的SMBv1客戶端，將EternalBlue作為傳播到受損網(wǎng)絡(luò)內(nèi)其他系統(tǒng)的機(jī)制。