网络战争与网络安全的未来
今天的安全威胁的范围和严重性已经扩大。 如果信息安全得不到妥善处理,现在可能有数百万甚至数十亿美元的风险。
多读书
三年零八天前,2017年4月14日,一群被称为影子经纪人的神秘黑客出版了一套黑客工具,最终永远改变了互联网。
这种被称为“翻译失传”的文件集包括数十个黑客工具和从美国国家安全局(NSA)窃取的漏洞,许多人认为美国是用来攻击其他国家的。
今天,三年后,泄漏中最著名的文件是,到目前为止,EternalBlue,这是WannaCry的核心,而不是Petya赎金爆发的核心。
然而,虽然EternalBlue是影子经纪人泄漏中最容易识别的名称,但有一个文件在任何其他文件之上都困扰和吸引了网络安全社区。
这个文件名为sigs.py,是许多人认为的网络间谍行动和威胁情报宝库。
该文件被认为是一个简单的恶意软件扫描仪,国安局运营商将部署在被黑客攻击的计算机上,并用于搜索其他APTS的存在(高级持久威胁,一个用来描述国家黑客团体的术语)。
它包含44个用于检测其他黑客团体部署的文件(黑客工具)的签名,编号从#1到#45,缺少#42。
该文件立即吸引了安全研究人员。 许多人意识到,他们甚至不能像国家安全局在sigs.py文件中列出的那样接近检测到多少个APTS。
到目前为止,三年后,sigs.py文件的15个签名仍然没有归属,这表明与今天的许多网络安全供应商相比,国安局对外国黑客行动仍然有着卓越的洞察力。
根据我的笔记,仍未解决的有:SIG3、SIG6、SIG11、SIG14、SIG19、SIG21、SIG24、SIG26、SIG29、SIG31、SIG32、SIG33、SIG34、SIG37、SIG38、SIG43。 最后一个要解决的是SIG27,也就是黑暗宇宙/伊塔杜克。
然而,今天,在OPCDE虚拟网络安全峰会上的一次演讲中,一位安全研究人员发现了一种新的APT-坐在签名#37后面的APT。
更准确地说,研究人员纠正了一个错误的归因签名#37铁虎,一个可疑的中国联系的网络间谍组织。
在Crysys的报告中签名#37,现在被认为是对铁虎APT的错误归因
卡巴斯基(Kaspersky)和谷歌(Google)的前安全研究员胡安?安德烈斯?格雷罗?萨德(Juan Andres Guerrero-Saade)表示,在识别了与这一签名相关的文件后,他认为签名#37实际上是为了完全跟踪一个新的黑客集团,他认为该集团可能总部设在伊朗。
格雷罗-萨德说,到目前为止,这组活动与任何公开报道的团体都没有联系,可以追溯到2008年,尽管该团体在2010年至2013年期间似乎更活跃。
他的研究人员根据恶意软件中发现的一个字符串命名了这个新的组,NazarAPT。
格雷罗-萨德说,他能够识别(在匿名来源的帮助下)仍然感染恶意软件匹配签名#37的受害者。 他说受害者完全在伊朗。
格雷罗-萨德今天在现场直播中说:“有趣的是,我之所以这么说,是因为恶意软件太旧了,它针对的是Windows、WindowsXP和Down的旧版本,仍然有受害者在伊朗寻找这一点。”
他补充说:“每当人们谈论伊朗是攻击者,我们就会开始想到西方的受害者[.],每当我们想到伊朗的目标,我们往往会想到西方的APT。
“在这种特殊情况下,如果我们把所有的属性指标都取在面值上,就我们所看到的可能是伊朗出生的一系列针对看起来完全是伊朗受害者的活动而言,这种总体看法是不符合的。
格雷罗-萨德计划本周晚些时候在他的个人博客上发表一份关于纳扎尔APT的更深入的报告。
在网络安全专家中,寻找NSAsigs.py文件中提到的其他15个APTS的工作还在继续。