卡巴斯基实验室的安全研究员发现,一款名为BlackEnergy(黑暗力量)的恶意软件已经可以对路由器、Linux系统、Windows系统发起攻击,其中包括思科类网络设备。全球反病毒研究小组于周一发布了一份报告,详细说明了它的一些新的功能,其中就包括了攻击Cisco思科设备和ARM及MIPS平台。
BlackEnergy是一款自动化的网络攻击工具,集成了多类黑客工具的功能。其客户端采用了插件的方式进行扩展,第三方开发者可以通过增加插件实现更多的功能。比如近期BlackEnergy集成了Ciscoapi.tcl这款插件,很容易就能看出来这是针对思科路由器的特定攻击插件。
据研究人员宣称,Ciscoapi.tcl插件包括思科路由器命令执行功能,作者还顺便附上了对卡巴斯基的一条嘲讽公告:
(脏话)卡巴斯基,你永远也拿不到最新的“黑暗力量”。最后,我们得感谢思科公司内置的后门和0day。
BlackEnergy最初被用来发起DDOS攻击的,后来开发人员在此基础上增加了客户端插件收集被害者的银行卡信息。在去年的统计里,大多数发起攻击的BlackEnergy,主要目标为北约(北大西洋公约组织),乌克兰、波兰政府,以及欧洲各种敏感的行业机构。
在2014年的夏季,F-Secure团队发现Blackenergy恶意软件的特定样本开始以乌克兰政府作为目标来收集情报。这些样本被识别出是同一组织的成果,该组织称之为“Quedagh”,历来喜欢把政府作为攻击目标。更多内容请点我
BlackEnergy插件功能选述
现如今,BlackEnergy已经集成了部分功能如:端口扫描,窃取密码,系统信息收集,窃取数字证书,远程桌面,甚至还拥有硬盘擦除和破坏的功能。
举个例子,假如受害者A知道了黑客使用BlackEnergy感染了他们的系统,黑客会激活“dstr”(某种通过随机数据进行覆盖,从而破坏硬盘的插件名字),使得全盘都被感染。这样的话,受害者B在从受害者A机器上拷贝VPN证书时,也可能会被感染上BlackEnergy。
安全研究员Kurt Baumgartner和Maria Garnaeva,也研究了那些可以在ARM和MIPS上运行的BlackEnergy版本,终于发现它们是通过思科系统感染的这些网络设备的。专家们为此研究了一些插件,其中包括插件A(在USB设备连接时,会开始收集USB设备的ID和其他信息),以及插件B(会收集BIOS、主板、处理器和受感染系统的配置细节),但是这些插件最终的用途却不甚明朗。
研究人员表示:
我们自己非常明白我们收集的BlackEnergy系列插件还并不完整。比如,我们并没有获得路由访问插件,但我们确信它肯定是存在的。还有证据表明,存在某种可以解密用户文件的插件。
多个国家深受其害
全球多个公司已经被最新的BlackEnergy所侵害,其中包括俄罗斯、比利时、利比亚、土耳其和越南。
研究人员确信另外一个恶意软件小组–沙虫小组,在2014年已经使用BlackEnergy的插件和他们制作的黑客脚本,对感染的网站发起过攻击。在上个月,沙虫小组对各国一些机构组织进行了侦查活动。iSIGHT的成员揭秘,沙虫小组主要使用了交叉式网络钓鱼攻击,来感染他们的目标。