[[439716]]

近日，ESET發(fā)布報(bào)告稱，在針對物理隔離網(wǎng)絡(luò)的17個(gè)間諜惡意軟件框架的分析之后發(fā)現(xiàn)，這些軟件全都利用了USB驅(qū)動器，并且都專門針對 Windows。其中13個(gè)惡意軟件都是在長達(dá)15年的時(shí)間內(nèi)逐個(gè)出現(xiàn)的，而另外4個(gè)則在去年一年最新涌現(xiàn)，這表明攻擊者對物理隔離系統(tǒng)越來越感興趣。

物理隔離網(wǎng)絡(luò)被用來保護(hù)高度敏感的數(shù)據(jù)，這使得它們成為擁有充分資源的高級攻擊者(例如國家黑客)垂涎的獵物。

事實(shí)上，已經(jīng)發(fā)生的一些針對物理隔離系統(tǒng)的攻擊被歸因于國家黑客組織，例如 DarkHotel(Retro 和Ramsay框架)、Sednit(USBStealer)、Tropic Trooper(USBFerry)、Equation Group(Fanny)、Goblin Panda(USBCulprit)和野馬熊貓(PlugX)。

而有些工具，例如Flame、miniFlame、Gauss、Agent.BTZ、ProjectSauron、Stuxnet病毒和USBThief與國家黑客的關(guān)系不是十分明朗(Agent.BTZ被認(rèn)為是Turla的一部分)，而Vault7收錄的其他惡意軟件框架(Brutal Kangaroo、Emotional Simian和EZCheese)還沒有在野外檢測到過。

在深入研究這些框架后，ESET 發(fā)現(xiàn)它們之間有很多相似之處，例如所有這些工具都針對 Windows系統(tǒng)進(jìn)行某種形式的間諜活動，并且其中大多數(shù)都依賴惡意LNK或USB驅(qū)動器上的自動運(yùn)行文件用于初始入侵或橫向移動。

“盡管這些框架背后的威脅行為者多種多樣，但他們都有一個(gè)共同的目的：間諜活動。甚至以其破壞性而聞名的 Stuxnet(震網(wǎng)病毒)也‘順手’收集了受感染機(jī)器Siemens Simatic Step 7 工程軟件項(xiàng)目中的信息。”ESET 指出。

報(bào)告還指出，大多數(shù)物理隔離系統(tǒng)攻擊框架在公開披露后不久就變得不活躍，可能是因?yàn)樗鼈兊倪\(yùn)營商停止使用它們。但也有可能是因?yàn)槲锢砀綦x系統(tǒng)上的反惡意軟件解決方案沒有更新并且無法再檢測到它們。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文