APT一直以其"高級""持續"的特點名列網絡病毒系列榜首。其攻擊對象高級,持續時間長,通常以年為單位。以下是各國情報和軍事部門的網絡安全部門列出的最危險,傷害力最強,最"臭名昭著"的惡意軟件病毒名單。
Regin
是美國國家安全局 (NSA)及其英國對應政府通訊總部 (GCHQ)使用的復雜惡意軟件和黑客工具包。 該惡意軟件針對基于Microsoft windows的計算機的特定用戶,并鏈接到美國情報收集機構。
在2014年被發現披露。但有更早的案例可追溯到2011年,有些懷疑該惡意軟件早在2003年就已被創建(Regin的名字最早于2011年3月9日在VirusTotal網站上發現)。
在Regin感染的全球計算機中,有28%在俄羅斯 ,24%在沙特阿拉伯 ,在墨西哥和愛爾蘭各占9%,在印度 , 阿富汗 , 伊朗 , 比利時 , 奧地利和巴基斯坦各占5%。
Regin已在外部署的已知案例包括對抗德國政府的比利時電信公司Belgacom,以及最近的案例是俄羅斯搜索巨頭Yandex。
在技術層面,安全研究人員將Regin視為迄今為止最先進的惡意軟件框架,其中包含用于數十個功能的模塊,其中大多數是圍繞監視操作而設計的,并且在被感染的主機上無法被發現。
Flame
也稱為Flamer , sKyWIper 和Skywiper,是2012年發現的模塊化計算機惡意軟件 ,它攻擊運行Microsoft Windows操作系統的計算機。 該程序在中東國家用于有針對性的網絡間諜活動 。
伊朗國家計算機應急響應小組 (CERT)的MAHER中心, 卡巴斯基實驗室和布達佩斯科技經濟大學的 CrySyS實驗室于2012年5月28日宣布了這一發現。被發現時,安全研究人員并未完全使用"惡意軟件"一詞來描述Flame。 當時,Flame非常先進,以致于他們使用"攻擊工具包"一詞來描述其結構,該結構有點像其大佬Regin。
就像前面提到的,Flame是在Flame框架之上工作的模塊的集合,并根據操作員需要的功能進行部署。
Stuxnet
該惡意軟件是在2000年代由美國國家安全局(NSA)和以色列軍隊的網絡部門以色列8200部隊共同開發的。 該計劃于2010年在伊朗部署,這是兩國共同努力破壞伊朗核計劃的一部分。
據說Stuxnet在發布時已經使用了四個不同的零日,已經專門針對目標工業控制系統進行了編碼。 它的作用是通過提高和降低轉子速度來修改用于核濃縮操作的離心機的設置,目的是引起振動并破壞機器。
該惡意軟件非常成功,據說感染了200,000臺計算機,最終摧毀了伊朗納坦茲核設施的近1,000臺離心機。
Shamoon
APT列表上第一個非美國開發的惡意軟件是Shamoon,這是伊朗國家黑客開發的一種惡意軟件。 它于2012年首次部署在沙特阿拉伯最大的石油生產國沙特阿美的網絡上。 該惡意軟件是一種數據擦除器,在2012年的攻擊中摧毀了30,000多臺計算機。
它于2016年在針對同一目標的第二次攻擊中部署。 最近,它已經針對意大利石油和天然氣承包商Saipem進行了部署,據稱摧毀了該公司10%的PC機隊。
Triton
2018年,研究網絡安全的公司FireEye報告稱,該惡意軟件最有可能來自俄羅斯研究機構中央化學與機械科學研究所(CNIIHM)。
Triton于2017年部署, 在沙特阿拉伯一家石化廠首次發現。它是經過專門設計的,可與施耐德電氣的Triconex安全儀表系統(SIS)控制器進行交互。 根據FireEye,Dragos和Symantec的技術報告,Triton旨在關閉生產過程或允許TriconSIS控制的機器在不安全的狀態下工作。 從而可能導致工廠災難。 它被稱為"世界上最具殺傷力的惡意軟件"。該惡意軟件的代碼泄漏最終發布在GitHub上。
Industroyer
Industroyer惡意軟件,也稱為Crashoverride,是由俄羅斯國家黑客開發的惡意軟件框架,于2016年12月部署在針對烏克蘭電網的網絡攻擊中。
這次襲擊是成功的,并將烏克蘭首都基輔的部分地區斷電了一個小時,是有史以來第一個專門設計用來攻擊電網的惡意軟件。 該惡意軟件被認為是諸如Havex和BlackEnergy之類的先前病毒的演變,該病毒也曾被用于攻擊烏克蘭的電網。 但是,與Havex和BlackEnergy更像是針對管理工業系統的系統部署的通用Windows惡意軟件,Industroyer包含專門設計用于與西門子電網設備進行交互的組件。
Duqu
Duqu被認為是以色列臭名昭著的8200軍事網絡單位的創建,于2011年被匈牙利安全研究人員發現。2015年發現了第二個版本,代號為Duqu 2.0。
部署的第一個版本是以輔助Stuxnet攻擊,而第二個版本則用于破壞俄羅斯防病毒公司卡巴斯基實驗室的網絡。在奧地利和瑞士的旅館的計算機上也發現了Duqu 2.0,也就是美國/歐盟與伊朗就其核計劃和經濟制裁進行了國際談判的場所。
PlugX
PlugX是一種遠程訪問木馬(RAT),于2012年首次出現,它被歸因于中國民族國家黑客的攻擊。 自從發現以來,中國黑客被猜測已經彼此共享了該惡意軟件,現在,它已被大多數中國民族國家團體廣泛使用,這使得歸因于一個團體變得異常困難。 此處提供了有關PlugX的良好技術報告。
Winnti
Winnti與PlugX非常相似。 這是另一種中國制造的APT惡意軟件毒株,最初由一個小組使用,但隨著時間的流逝在所有中國APT中共享。
該惡意軟件自2011年以來一直存在,被稱為模塊化后門木馬。 安全研究人員最近發現了linux變體。
Uroburos
Uroburos是臭名昭著的Turla小組開發的rootkit,Turla小組是與俄羅斯政府有聯系的世界上最先進的民族國家黑客組織之一。
根據G DATA的報告," rootkit能夠控制受感染的計算機,執行任意命令并隱藏系統活動。"
Uroburos(也稱為Turla或Snake rootkit)已得到廣泛部署,并且對于限定的目標能有效的獲得啟動持久性并下載其他惡意軟件。
它是Turla APT攻擊的核心部分,早在2008年就已在歐洲,美國和中東的受感染計算機上看到過。目標通常包括政府實體。 在45個國家/地區都可以看到它。 2014年還發現了Linux變體。
ICEFOG
是另一種來自中國的惡意軟件,曾經被一個黑客團體使用,但后來被其他人共享和重復使用。
ICEFOG最早發現于2013年,在過去兩年又卷土重來,推出了新版本,甚至是mac版本。
WARRIOR PRID
此列表中唯一的移動惡意軟件,WARRIOR PRIDE是由美國國家安全局和英國GCHQ聯合開發的工具。它可以在Android和iphone上運行,關于它存在的消息是在2014年斯諾登泄密期間。
在功能方面,iPhone版本比Android版本先進得多。它可以從受感染的主機中檢索任何內容,通過靜默啟用麥克風來收聽附近的對話,并且即使手機處于睡眠模式也可以正常工作。
Olympic Destroyer
Olympic Destroyer被部署在平昌2018年冬季奧運會開幕式上,破壞了互聯網連接。電視臺和新聞記者受襲擊影響最大。
該惡意軟件據說是由俄羅斯黑客創建的,并被用作國際奧委會的回報,以禁止冬季奧運會的俄羅斯運動員使用興奮劑收費或禁止某些運動員在俄羅斯國旗下比賽。
惡意軟件本身是一個信息竊取者,它將應用程序密碼轉儲到受感染的系統上,黑客后來用來升級對其他系統的訪問權限,隨后他們從那里觸發了數據擦除攻擊,導致某些服務器和路由器癱瘓。首次襲擊發生數月后,于2018年6月發現了新的奧林匹克毀滅者版本。
VPNFilter
此列表中創建的唯一可感染路由器的APT開發的惡意軟件是VPNFilter。該惡意軟件由俄羅斯國家黑客開發,已在烏克蘭基輔舉行的2018年歐洲冠軍聯賽決賽之前進行了部署。
假定的計劃是在決賽的現場直播中部署惡意軟件并損壞路由器,這與在平昌2018年冬季奧運會開幕式上使用奧林匹克毀滅者惡意軟件破壞互聯網連接的方式類似。
幸運的是,思科Talos的安全研究人員看到了VPNFilter僵尸網絡的組裝,并在FBI的幫助下將其刪除。據聯邦調查局稱,該惡意軟件據說是由Fancy Bear APT創建的。
WannaCry
盡管出于不同的原因,2017年的三起勒索軟件爆發都是由國家級黑客開發的惡意軟件毒株。
其中第一個是WannaCry勒索軟件,它是由朝鮮國家黑客開發的,其唯一目的是感染受害者為當時受到嚴厲經濟制裁的平壤政權收集贖金。為了減輕這些制裁的影響,該政權利用黑客來搶劫銀行,開采加密貨幣或運行勒索軟件來收集資金。
但是,由于WannaCry代碼中的錯誤,勒索軟件的內部自我復制(蠕蟲)組件不僅散布到本地網絡,而且還感染了所有可見的東西,從而導致了全球性爆發。
NotPetya
WannaCry爆發兩個月后,第二起勒索軟件大爆發。這種勒索軟件名為NotPetya,由俄羅斯的Fancy Bear(APT28)小組編碼,最初僅在烏克蘭部署。
但是,由于共享網絡和企業VPN,勒索軟件在全球范圍內傳播,類似于WannaCry,造成數十億美元的損失。就像WannaCry一樣,NotPetya使用EternalBlue漏洞作為其蠕蟲組件的核心部分。
Bad Rabbit
2017年最后一次全球勒索軟件爆發是國家黑客的杰作。就像NotPetya一樣,Bad Rabbit是俄羅斯黑客的作品,他們同樣在烏克蘭部署了它,但勒索軟件在全球范圍內傳播,盡管與前兩個WannaCry和NotPetya相比影響較小。
與NotPetya不同,它沒有使用EternalBlue作為其主要傳播機制,并且還包含許多《權力的游戲》參考。
EnternalBlue永恒之藍
EnternalBlue可能本身不是經典的惡意軟件,更加像是一種利用程序,但它仍然是一個民族國家的實體開發的,所以放在APT名單上。 它是由美國國家安全局(NSA)開發的,并于2017年4月公開發布,當時一群被稱為"影子經紀人"(Shadow Brokers)的神秘黑客在線發布了該代碼。
EternalBlue發布后,首次用于加密貨幣挖礦活動中,但是在將其嵌入2017年三個勒索軟件爆發的代碼(WannaCry,NetPetya和Bad Rabbit)后,才真正成為一個廣為人知和可識別的術語。
從那以后,EternalBlue沒有被終止,反而被各種網絡犯罪活動廣泛使用,所有人都通過利用Windows計算機上配置錯誤的SMBv1客戶端,將其用作傳播到受感染網絡內部其他系統的機制。
稿源: ZDnet,Wikipedia
