能源公司成黑客攻击目标

Dell 公司SecureWorks反威胁中心表示，今年4月开始，黑客们通过名为Mirage的RAT(远程访问木马)，针对各公司的系统，不停盗取公司网络数据。受害公司包括：加拿大的一家能源公司，菲律宾的一家原油公司，以及许多其他公司。

SecureWorks中心发现，针对原油公司的数据盗窃，今年已不是第一回发生。今年2月，研究人员发现，黑客使用类似Mirage的远程访问工具，进入许多越南原油公司盗取数据。据SecureWorks中心称，此次行动的目标同时还包括：不少国家的政府机关，一座大使馆，一家核安全机构，以及许多集团企业。

SecureWorks中心表示，2月发生的数据盗窃中，Mirage使用的3个C&C(命令控制)服务器，以及其它几个C&C服务器的域名相同，来自于同一人或同一团伙。

同时，值得注意的是，2月的行动中，Mirage使用的C&C服务器，其IP地址来自中国北京某网络。去年，安全供应商 RSA公司受到攻击，公司SecurID双重认证技术的机密信息被窃，此网络也有参与攻击行动。

2009年，GhostNet攻击了100多国的政府计算机，C&C服务器使用的也是该网络的IP地址。SecureWorks 中心研究人员Joe Stewart 今日称，证据表明，大量的网络数据盗窃背后，是同一个团伙。

Stewart表示， Mirage攻击的影响范围已扩大至加拿大，菲律宾各公司，台湾的一家军事机构，以及尼日利亚，埃及，巴西，以色列的许多公司。

据SecureWorks 中心称，Mirage恶意软件，它的程序设计得很狡猾，能够躲开一般检测。Mirage与C&C服务器的所有连接都进行了伪装，伪装成URL流量模式下的Google搜索。

黑客们使用钓鱼邮件，欺骗目标公司的高级主管，诱使他们点击含恶意软件的附件，附件一旦打开，软件中含有Mirage安装程序就会自动在系统中运行。以数据盗窃中使用的邮件举例，邮件含有一份PDF文件，报道了也门女子有权参加国家大选的新闻。

过去的几个月里，SecureWorks中心研究人员发现了不少改良版Mirage，它们进过定制，能够躲开防毒程序，以及反恶意软件的检测。

“在采样中，我们曾获得其中一个Mirage变体，黑客对该变体进行过特别改良，以适应目标环境。”SecureWorks中心分析师Silas Cutler警告称。他指出，“采样样品还为目标环境网络代理服务器配置了默认凭据。”

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友