卡巴斯基：网络间谍行为仍将泛滥

日前，卡巴斯基实验室发布2012年第三季度IT威胁演化报告，报告显示第三季度发生了多起网络间谍相关事件，其中最值得关注的的是同Madi、Gauss和Flame恶意软件相关的事件。

这其中包含一次持续近一年的入侵计算机系统攻击行动DIN标准波纹管式气缸，攻击目标为中东地区的工程公司、政府机构、银行以及大学的基础设施。经过卡巴斯基实验室与以色列的 Seculert公司进行的联合调查，该恶意程序被命名为“Madi”，其恶意组件通过一种常见的并不复杂的攻击方式进行传播。尽管其所用的技术非常简单，但网络罪犯攻击效果仍然显著ISO标准螺柱，在很长一段时间内对受害用户进行了密切监控。。这表明，用户的互联网安全意识仍然亟需提高。

上述攻击会在被侵入的计算机上安装利用Delphi编写的后门程序。这些后门程序可能是由一些非专业的编程者制作，或者是由专业的开发者编写，但其开发时间非常仓促，被攻击用户的通讯在很长一段时间内都得到网络罪犯的严密监视。

而在发现Flame后，国际电信联盟(ITU)在又一项调查中，揭开了Gauss的神秘面纱。从本质上来说，Gauss是一款具有政治背景的“网银”木马，除了能够窃取受感染Windows系统上的各种数据外，它还具有未被破译的恶意功能，且该恶意程序只会在具有特定配置的系统上激活。Gauss基于 Flame平台，同Flame有一些相似之处，例如都会通过感染USB驱动器进行传播。

此外，卡巴斯基实验室的专家还获取到一些关于 Flame命令控制(C&C)服务器的最新信息。卡巴斯基实验室联合赛门铁克、ITU-IMPACT和CERT-Bund/BSI的调查发现：基于该平台的命令服务器的代码开发最早可以追溯到2006年。通过源代码中的备注来判断，该项目至少有四个编程人员共同开发。命令控制代码支持三种通讯协议。此外，还有一个重大发现，即命令控制服务器会处理来自四种恶意程序的请求，这些恶意程序的代号分别为SP、SPE、FL和IP。这四种恶意程序中，目前只有两种已知，分别为Flame和SPE(即miniFlame)。

根据调查收集到的数据，我们可以断定，网络间谍行为在不远的将来仍将继续泛滥。在网络武器不断出现的情况下，卡巴斯基实验室工作的目标就是化解这些威胁。