新闻快讯
< >

CheckPoint:IoTroop僵尸网络与中国有关

E安全11月1日讯 以色列网络安全公司Check Point 10月29日发布技术报告指出, Reaper(又被称为IoTroop)恶意软件或出自中国间谍组织“黑色藤蔓”(Black Vine)之手。

Reaper恶意软件使用了Lua环境

Check Point的安全研究小组负责人Yaniv Balmas(亚历弗·巴尔马斯)表示,这款恶意软件的独特之处在于使用了Lua环境。Lua是一款轻量级的嵌入式编程语言,其目的是使脚本运行。

Balmas称,他们先前从未见过恶意软件使用Lua的案例。正是由于对Lua环境的利用,这款恶意软件变得十分敏捷,并具有高度适应性。Lua环境允许攻击者几分钟内从一种攻击转移到另一类攻击。Balmas认为Reaper可能会发起大规模DDoS攻击,接下来还可能会进行加密货币挖矿活动。他认为这款恶意软件的设计可圈可点,包含许多DDoS基础设施(例如C&C服务器等,其中许多设施以不专业的方式冗杂在一起),这一点与众不同。

Check Point指Reaper或出自间谍组织“Black Vine”之手-E安全

Reaper开发人员使用的电子邮件域名通过电子邮箱li2384826402@yahoo.com注册,中国间谍组织“黑色藤蔓”(Black Vine)先前也曾使用过该邮箱。

Check Point在技术报告中指出,这一点还不足以判定Reaper僵尸网络就是“黑色藤蔓”所为,但这些信息为今后的研究提供了线索。

Balmas指出,这个电子邮箱可能为经销商所有,而经销商将域名出售给了Black Vine和Reaper。

关于“黑色藤蔓”间谍组织的分析

赛门铁克公司2015年8月发布报告称有关“黑色藤蔓”的分析报告,指出该间谍组织曾对美国第二大医疗保险服务商Anthem发起攻击,当时近8000万员工和客户资料(包括姓名、生日、医保ID号、社会保险号、住宅地址、电子邮箱、雇佣情况、以及收入数据)被盗。

Check Point指Reaper或出自间谍组织“Black Vine”之手-E安全

赛门铁克公司这份2015年的报告曾表示,Black Vine间谍组织早在2012年就出现了,它的攻击目标包括燃气轮机制造商、航空航天公司、医疗保险服务商等等,且惯用的是0day漏洞利用程序和自定义开发的恶意后门,并认为Black Vine与黑客组织“隐秘山猫”有所关联。当时,受Black Vine影响最大的地区是美国,其次是中国、加拿大、意大利、丹麦、印度。

Balmas表示,研究人员对攻击行径的揭示似乎并未起到让攻击者收手的效果。一般情况下,当安全公司披露公开此类网络犯罪行动时,攻击者会摧毁基础设施。而在这起案例中,确实有少量服务器停止运行,但第二天还会照常运行。

Balmas还补充称,恶意软件作者使用的服务器托管在美国、欧洲和远东地区。Check Point已与其中大多数互联网服务提供商取得联系,但目前尚未收到回复。

完整的技术报告,请戳

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。