[[397830]]

據(jù)媒體報(bào)道，網(wǎng)絡(luò)安全廠商卡巴斯基公司日前表示，在收集的樣本中發(fā)現(xiàn)了由美國中央情報(bào)局(CIA)開發(fā)的惡意軟件。

該公司的發(fā)言人指出，分析師在該公司和其他網(wǎng)絡(luò)安全廠商于2019年2月收集到的“惡意軟件樣本集”中發(fā)現(xiàn)了這些惡意軟件。

雖然在初步分析中，并沒有發(fā)現(xiàn)與先前已知的惡意軟件樣本共享的代碼，但卡巴斯基公司重新分析了這些文件，發(fā)現(xiàn)這些樣本具有各種Lambert所見的編碼模式、風(fēng)格和技術(shù)的交叉點(diǎn)。Lamberts是卡巴斯基用來跟蹤美國中央情報(bào)局(CIA)行動的內(nèi)部代號。

維基解密公司在四年前公布了名為Vault7的漏洞，向公眾披露了美國中央情報(bào)局(CIA)的黑客工具。美國安全服務(wù)商賽門鐵克公司公開將Vault7黑客工具與CIA和Longhorn APT(Lamberts的另一個名稱)聯(lián)系起來。

卡巴斯基公司表示，由于這些新發(fā)現(xiàn)的樣本與美國中央情報(bào)局(CIA)開發(fā)惡意軟件之間存在一些共同之處，他們現(xiàn)在正在追蹤新的惡意軟件集群Purple Lambert?；赑urple Lambert元數(shù)據(jù)，該惡意軟件樣本似乎已在7年前(2014年)進(jìn)行了編譯。

卡巴斯基公司認(rèn)為Purple Lambert樣本可能在2014年部署，最晚不會超過2015年。

至于這種惡意軟件的作用，卡巴斯基對Purple Lambert的描述似乎表明，這一惡意軟件可以作為特洛伊木馬監(jiān)聽網(wǎng)絡(luò)流量中特定的數(shù)據(jù)包，這些數(shù)據(jù)包將在受感染的主機(jī)上將其激活。

卡巴斯基公司日前發(fā)布的季度APT報(bào)告的完整描述如下：“Purple Lambert由幾個模塊組成，其網(wǎng)絡(luò)模塊被動地偵聽數(shù)據(jù)包。它能夠?yàn)榫W(wǎng)絡(luò)攻擊者提供有關(guān)受感染系統(tǒng)的基本信息，并執(zhí)行接收到的有效負(fù)載。它的功能使我們想起了另一個用戶模式被動偵聽器Gray Lambert。在多起數(shù)據(jù)泄露事件中，Gray Lambert被證明是內(nèi)核模式被動偵聽器的替代品。此外，Purple Lambert實(shí)現(xiàn)的功能與Gray Lambert和White Lambert類似，但方法不同。”

除了Shadow Brokers和Vault7漏洞之外，有關(guān)美國網(wǎng)絡(luò)間諜活動和黑客工具的新聞報(bào)道在網(wǎng)絡(luò)安全領(lǐng)域比較少見。

自從由于Vault7導(dǎo)致數(shù)據(jù)泄漏事件以來，只有三份關(guān)于美國中央情報(bào)局(CIA)開發(fā)的惡意軟件和黑客攻擊的報(bào)告：

第一個是卡巴斯基(Kaspersky)公司在2018年3月發(fā)布的報(bào)告，該報(bào)告揭露了美國網(wǎng)絡(luò)司令部針對中東ISIS武裝分子的情報(bào)收集行動。

第二個是ESET公司在2019年11月發(fā)布的一份調(diào)查報(bào)告，該報(bào)告揭露了與CIA / Lamberts相關(guān)的另一種惡意軟件DeDeMon。

第三個是中國安全服務(wù)商奇虎360公司在2020年3月發(fā)布的一份報(bào)告，該報(bào)告揭露了美國中央情報(bào)局針對中國民航部門實(shí)施了長達(dá)11年的網(wǎng)絡(luò)攻擊活動。