■王蕊

近日，卡巴斯基實(shí)驗(yàn)室發(fā)表了一篇有關(guān)Crouching Yeti 網(wǎng)絡(luò)間諜行動(dòng)的研究報(bào)告。該報(bào)告深度分析了Crouching Yeti所使用的惡意軟件和命令控制（C&C）服務(wù)器架構(gòu)?？ò退够鶎?shí)驗(yàn)室的研究顯示，Crouching Yeti 網(wǎng)絡(luò)間諜行動(dòng)最早可以追溯到2010年末，并持續(xù)至今?，F(xiàn)在，每天都會(huì)有新的受害者遭受這一間諜行動(dòng)的攻擊。

目前，全球范圍內(nèi)已知的受害組織數(shù)量已經(jīng)超過2800家。其中，經(jīng)卡巴斯基實(shí)驗(yàn)室研究人員證實(shí)的已達(dá)101 家。根據(jù)卡巴斯基實(shí)驗(yàn)室的研究，大多數(shù)受害企業(yè)或組織來(lái)自美國(guó)、西班牙、日本、德國(guó)、法國(guó)、意大利、土耳其、愛爾蘭、波蘭和中國(guó)，并且屬于工業(yè)/機(jī)械制造業(yè)、制造業(yè)、制藥行業(yè)、建筑業(yè)、教育行業(yè)或信息技術(shù)行業(yè)。從這些受害組織的性質(zhì)可以看出，Crouching Yeti 網(wǎng)絡(luò)間諜攻擊很可能造成機(jī)密信息泄漏，如商業(yè)機(jī)密和專業(yè)知識(shí)。不僅如此，卡巴斯基實(shí)驗(yàn)室專家認(rèn)為，Crouching Yeti 或許不僅能夠?qū)μ囟I(lǐng)域的目標(biāo)發(fā)動(dòng)針對(duì)性攻擊，還是一種全面的監(jiān)控行動(dòng)，能夠攻擊并監(jiān)視不同行業(yè)的企業(yè)和組織。

Crouching Yeti 究竟使用何種惡意工具對(duì)上述組織實(shí)施攻擊行動(dòng)？卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)的證據(jù)表明，Crouching Yeti并非使用零日漏洞的復(fù)雜攻擊行動(dòng)，卻潛伏多年，直至最近才被發(fā)現(xiàn)。此外，它使用五種惡意工具從受感染系統(tǒng)中竊取重要的信息和數(shù)據(jù)，分別是Havex 木馬、Sysmain 木馬、ClientX 后門程序、Karagany 后門程序和相關(guān)竊密程序、橫向移動(dòng)和二級(jí)工具。其中，使用最廣泛的工具是Havex 木馬。它有兩個(gè)非常特殊的模塊，可用于從特定的工業(yè)IT 環(huán)境中收集和竊取數(shù)據(jù)。

至于為何將此次攻擊行動(dòng)命名為Crouching Yeti，卡巴斯基實(shí)驗(yàn)室首席安全研究員Nicolas Brulez 表示：“最初，Crowd Strike 根據(jù)自己的命名規(guī)則，將這次攻擊行動(dòng)命名為Energetic Bear。其中的Bear 表明其屬性，因?yàn)镃rowd Strike 認(rèn)為這次攻擊行動(dòng)的源頭在俄羅斯?？ò退够鶎?shí)驗(yàn)室正在對(duì)現(xiàn)有線索進(jìn)行調(diào)查，而且，目前沒有足夠的證據(jù)表明上述推測(cè)。此外，我們的分析表明，這次行動(dòng)的攻擊目標(biāo)遍及全球，而非之前認(rèn)為的僅僅針對(duì)能源行業(yè)。根據(jù)這些數(shù)據(jù)，我們決定重新為其命名?！睋?jù)了解，卡巴斯基實(shí)驗(yàn)室的專家仍在同執(zhí)法機(jī)關(guān)和業(yè)內(nèi)合作伙伴合作，針對(duì)這次攻擊行動(dòng)進(jìn)行研究和調(diào)查。