多種NSA黑客工具已被用於攻擊航空航天和核能行業
根據卡巴斯基實驗室安全專家的說法,有攻擊者正在利用NSA黑客工具DarkPulsar、DanderSpritz和Fuzzbunch來感染俄羅斯、伊朗和埃及50多家機構所使用的Windows Server 2003和2008系統。受感染的易受攻擊伺服器被廣泛應用於航空航天和核能等行業,尤其是那些擁有大型IT和研發部門的機構。
卡巴斯基實驗室的安全專家Andrey Dolgushev、Dmitry Tarakanov和Vasily Berdnikov 在分析報告中寫道:“ShadowBrokers(影子經紀人)在2017年3月公佈了一大堆被盜資料,其中就包括兩個框架:DanderSpritz 和 FuzzBunch。”
DanderSpritz完全由外掛組成,用於收集情報、利用漏洞,以及檢查已經被控制的主機。它是採用Java編寫的,提供了類似於僵屍網路管理面板的圖形視窗介面以及類似於Metasploit的控制檯介面。另外,它也包含自己的後門和外掛,用於非FuzzBunch控制的受害者。
另一方面,Fuzzbunch為不同的實用程式提供了一個互動和協同工作的框架。它包含各種型別的外掛,旨在分析受害者、利用漏洞和安排任務等。
這兩個框架都支援一組專為不同任務而設計的外掛,DanderSpritz外掛主要用於管理已經被感染的受害者,而FuzzBunch外掛則主要用於偵察和攻擊目標系統,並且為具有特定功能的後開發階段提供了一些工具包,例如DisableSecurity和DarkSeuls的EnableSecurity。
新發現的DarkPulsar則是一個後門,包括32位和64位兩個版本。它可以被攻擊者拿來與Fuzzbunch漏洞利用工具包一起使用,以獲得對目標伺服器的遠端訪問。一旦建立了後門,攻擊者就可以使用DanderSpritz的外掛來監控及竊取來自受感染主機的資料。
安全專家表示,DarkPulsar後門的發現有助於理解它在兩個已知攻擊框架之間所起的橋樑作用,以及它們如何能夠成為同一攻擊平臺的一部分。這些平臺是為長期攻擊而設計的,基於DarkPulsar所具備的一些先進能力(例如,能夠建立永續性以及保持隱身),以及在一些功能的實現上(例如,將其流量封裝到合法協議中並繞過輸入憑證以通過身份驗證)的專業表現。
在卡巴斯基實驗室的報告中,三名安全專家為我們提供了更多的技術細節和與攻擊相關的資訊。最重要的提醒是,DarkPulsar所針對的漏洞都有相應的安全補丁可用。因此,想要避免或減輕網路攻擊所帶來的威脅,建議大家還是應該養成及時安裝補丁的好習慣,尤其是針對一些公開披露的高風險漏洞而言。