该公司的发言人指出,分析师在该公司和其他网络安全厂商于2019年2月收集到的“恶意软件样本集”中发现了这些恶意软件。
虽然在初步分析中,并没有发现与先前已知的恶意软件样本共享的代码,但卡巴斯基公司重新分析了这些文件,发现这些样本具有各种Lambert所见的编码模式、风格和技术的交叉点。Lamberts是卡巴斯基用来跟踪美国中央情报局(CIA)行动的内部代号。
维基解密公司在四年前公布了名为Vault7的漏洞,向公众披露了美国中央情报局(CIA)的黑客工具。美国安全服务商赛门铁克公司公开将Vault7黑客工具与CIA和Longhorn APT(Lamberts的另一个名称)联系起来。
卡巴斯基公司表示,由于这些新发现的样本与美国中央情报局(CIA)开发恶意软件之间存在一些共同之处,他们现在正在追踪新的恶意软件集群Purple Lambert。基于Purple Lambert元数据,该恶意软件样本似乎已在7年前(2014年)进行了编译。
卡巴斯基公司认为Purple Lambert样本可能在2014年部署,最晚不会超过2015年。
至于这种恶意软件的作用,卡巴斯基对Purple Lambert的描述似乎表明,这一恶意软件可以作为特洛伊木马监听网络流量中特定的数据包,这些数据包将在受感染的主机上将其激活。
卡巴斯基公司日前发布的季度APT报告的完整描述如下:“Purple Lambert由几个模块组成,其网络模块被动地侦听数据包。它能够为网络攻击者提供有关受感染系统的基本信息,并执行接收到的有效负载。它的功能使我们想起了另一个用户模式被动侦听器Gray Lambert。在多起数据泄露事件中,Gray Lambert被证明是内核模式被动侦听器的替代品。此外,Purple Lambert实现的功能与Gray Lambert和White Lambert类似,但方法不同。”
除了Shadow Brokers和Vault7漏洞之外,有关美国网络间谍活动和黑客工具的新闻报道在网络安全领域比较少见。
自从由于Vault7导致数据泄漏事件以来,只有三份关于美国中央情报局(CIA)开发的恶意软件和黑客攻击的报告:
第一个是卡巴斯基(Kaspersky)公司在2018年3月发布的报告,该报告揭露了美国网络司令部针对中东ISIS武装分子的情报收集行动。
第二个是ESET公司在2019年11月发布的一份调查报告,该报告揭露了与CIA / Lamberts相关的另一种恶意软件DeDeMon。
第三个是中国安全服务商奇虎360公司在2020年3月发布的一份报告,该报告揭露了美国中央情报局针对中国民航部门实施了长达11年的网络攻击活动。
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号