网络安全公司卡巴斯基在分析一批2019年的恶意软件样本时,发现与CIA的Lambert家族编码模式相似的新恶意软件,命名为PurpleLambert。该软件可能是一款后门木马,用于监听网络流量。PurpleLambert的元数据显示其可能在2014年编译,并可能在2015年部署。此发现增加了对美国网络行动的了解,因为这类信息通常很少公开。
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
网络安全公司卡巴斯基指出,发现了疑似由美国中情局 (CIA) 开发的新型恶意软件。
和 Lambert 家族有交集
卡巴斯基指出,在 “恶意软件样本集“中发现了这款恶意软件,而这些样本集时分析师和其它安全公司在2019年2月收到的。虽然最开始分析时并未发现和此前已知恶意软件样本相似的代码,但最近重新分析这些文件后发现”这些样本和多个 Lambert 家族中发现的编码模式、风格和技术存在交集“。
Lamberts 是卡巴斯基追踪 CIA 黑客活动时内部使用的代号。
四年前,维基解密通过曝光 Vault 7 项目,向公众揭露了 CIA 的黑客能力,而美国安全公司赛门铁克将这些工具公开和CIA与 Longhorn APT(业内对 Lamberts 的别称)关联在一起。
鉴于这些新发现的样本和以往的 CIA 恶意软件之间存在相似之处,因此卡巴斯基将该恶意软件命名为“Purple Lambert“。
从 Purple Lambert 元数据来看,这款恶意软件的样本似乎已在7年前即2014年被编译。卡巴斯基指出,虽然尚未在野发现其中任意样本,但他们认为 Purple Lambert 样本“可能部署于2014年,很可能在2015年才部署”。
后门木马,负责监听
至于该恶意软件的作用,卡巴斯基认为它可能是后门木马,负责监听网络流量中将被在受感染主机上激活的数据包。卡巴斯基指出,“Purple Lambert 由多个模块组成,其网络模块被动监听魔力数据包,为攻击者提供关于受感染系统的基本信息并执行已接收的payload。它的功能让我们想起了另外一个用户模式下的被动监听工具 Gray Lambert。Gray Lambert 结果证明是多个事件中内核模式被动监听器 White Lambert 植入的替代品。另外,Purple Lambert 以不同方式但执行的功能类似于 Gray Lambert 和 White Lambert。”
稀少的美国网络行动报道
除了“影子经纪人”和 Vault7 泄密事件外,网络安全行业关于美国网络间谍行动和黑客工具的新闻很少见。Vault 7 泄密事件后,仅出现三份和美国相关的类似报告。第一份是卡巴斯基在2018年3月发布的 Slingshot 报告,披露了美国网络司令部针对中东地区 ISIS 武装分子实施的情报收集行动。第二份报告由 ESET 公司在2019年11月发布,披露了另外一个和 CIA/Lamberts 相关链的恶意软件 DePriMon。第三份报告是2020年3月,中国网络安全公司奇虎360发布的报告,披露了CIA针对中国民用航空业长达11年的黑客行动。
推荐阅读
想看就看|奥巴马等名流纷纷喊话:充1000送2000;CIA 才是黑客大佬;它们正在付诸洗劫全球的“梦想”
CIA 数据泄露事件报告出炉:光为他人做嫁衣,自家着火不自知
又一个斯诺登现身?前 CIA 员工被指为 Vault 7 泄密主谋
原文链接
https://therecord.media/security-firm-kaspersky-believes-it-found-new-cia-malware/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
785
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
