世界上著名且危险的APT恶意软件清单

本文尝试列举出由各国军事情报处的网络安全部门开发的比较危险、有效也是特别闻名的恶意软件清单，其中有些可以说早已盛名在外，另一些可能你还没听过……然而这正是它的危险之处。

一、Regin

Regin被认为是有史以来国家级特别先进的恶意软件系列，由NSA开发，并与其五眼联盟合作伙伴(主要是GCHQ)共享。

在2014年被公开披露，但最早的样本可以追溯到2011年，但也有一些人怀疑Regin早在2003年就被创建了。

一些已为人知的Regin野外部署案例包括比利时电信公司，德国政府反动，以及最近的一个案例，俄罗斯搜索巨头Yandex。

在技术层面上，安全研究人员认为Regin是迄今为止最先进的恶意软件框架，它具有数十个功能模块，其中绝大多数模块都是围绕监控操作设计，保证感染主机后也不被发现。

二、Flame

当它在2012年被发现时，安全研究人员并没有准确地用“恶意软件”这个词来描述Flame。当时，Flame非常先进以至于大家都愿意称之为“攻击工具包”。

Flame有点类似它的“大哥”Region，也是在框架之上工作的模块集合，根据操作员所需要的特性进行部署。

2012年，伊朗国家认证中心的MAHER Center在针对伊朗政府机构的袭击中发现了Flame。而这一发现和stuxnet恶意软件攻击时隔两年，并很快与方程式组织(美国国家安全局的代号)联系到了一起。后来在针对其他中东政府的袭击中也发现了Flame。目前，Flame的维基百科页面保存了所有与flame相关的发现。

三、Stuxnet

Stuxnet是名单上唯一一个拥有自己的纪录片的恶意软件。

该恶意软件是在2000年代由美国国家安全局和以色列8200部队(以色列军方的网络部门)共同共同开发的。2010年在伊朗部署，作为两国致力破坏伊朗核计划的一部分。

据说，Stuxnet在释放时使用了四个不同的零日漏洞，被专门编码为工业控制系统。它的作用是通过提高和降低转子速度来修改控制核浓缩操作的离心机的设置，最终引起振动并破坏机器。

这个恶意软件很成功，据说已经感染了20多万台计算机，最终在伊朗纳坦兹核设施摧毁了近1000台离心机。

四、Shamoon

Shamoon是名单上第一个非美国开发的恶意软件，它是由伊朗国家黑客开发，2012年首次部署在沙特阿拉伯最大的石油生产商沙特阿美石油公司的网络上。在2012年的攻击中，一个数据雨刷器，摧毁了超过30000台电脑。

2016年，针对同一目标，它进行了第二次部署，最近，则是被部署在了意大利石油和天然气承包商Saipem上，据称摧毁了该公司10%的PC机队。

五、Triton

Triton，也称为Trisis，是最近添加到名单里的，这个恶意软件被认为是由俄罗斯研究实验室开发。

Triton在 2017年部署，是专门为Schneider Electric的Triconex安全仪表系统的控制器交互而设计的。根据Fireeye、Dragos和Symantec的技术报告，Triton的设计目的是关闭生产流程或允许Tricon控制的机器在不安全状态下工作。恶意软件的代码泄露，最终在Github上发布。

六、Industroyer

Industroyer也称为CrashOverride，是俄罗斯国家黑客开发的恶意软件框架，2016年12月部署在针对乌克兰电网的网络攻击中。

这场攻击切断了乌克兰首都基辅一部分的电力，并持续了一个小时之久。该恶意软件被认为是Havex和Blacknergy等的进化(它们也曾被用来攻击乌克兰电网)。然而，与Havex和Blacknergy不同，它们更像是针对管理工业系统部署的Windows通用恶意软件，而Industroyer则是专门设计了与西门子电网设备交互的组件。

七、Duqu

Duqu被认为是以色列臭名昭著的8200军事网络单位所建立的，2011年匈牙利安全研究人员在发现了Duqu，其第二个版本又于2015年被发现，代号为duqu 2.0。

第一个版本帮助stuxnet攻击，第二个版本则危害俄罗斯防病毒公司kaspersky lab的网络。在美国/欧盟与伊朗就核计划和经济制裁进行国际谈判的奥地利和瑞士酒店的计算机上，同样也发现了duqu 2.0。

八、PlugX

PlugX首次出现在2012年，是一个来源于中国黑客的远程访问特洛伊木马(RAT)。

被发现以后，中国黑客似乎彼此共享了这个软件，现在它被广泛应用于中国国家组织，以至于直接将其归为一个群体并不是容易的事情。

这里有一个关于plugx的技术报告。

九、Winnti

Winnti和PlugX非常相似。这是另一个中国制造的APT恶意软件病毒，最初由一个群体使用，但随着时间的推移，逐渐在中国所有APT中共享。

该恶意软件自2011年发展至今，被称之为模块化后门木马。 安全研究人员最近还发现了Linux变种。

Winnti和PlugX非常相似。这是另一个中国制造的APT恶意软件病毒，最初由一个群体使用，但随着时间的推移，逐渐在中国所有APT中共享。

该恶意软件自2011年发展至今，被称之为模块化后门木马。 安全研究人员最近还发现了Linux变种。

十、Uroburos

Uroburos是由臭名昭着的Turla集团开发的rootkit，要知道Turla集团是世界上最先进的民族国家黑客组织之一，和俄罗斯政府有一些联系。

根据G DATA报告，“rootkit能够控制受感染的计算机，执行任意命令并隐藏系统活动。”

Uroburos(也称为Turla或Snake rootkit)被广泛部署，并且非常有效，因为它的目的非常明确：获得持久启动并下载其他恶意软件。

Uroburos是Turla APT攻击的核心部分，早在2008年就出现在欧洲，美国和中东的受感染计算机上，目标通常是政府机构。它曾经先后出现在45个国家，并且在 2014年还发现了Linux变体。

十一、ICEFOG

ICEFOG是另一个曾被一个集团使用的中国恶意软件，后来被其他人共享和重用。

ICEFOG于2013年首次亮相，在过去两年卷土重来，推出了新版本，甚至是Mac版本。更多地可以见报道。

十二、WARRIOR PRIDE

WARRIOR PRIDE是由美国国家安全局和英国GCHQ共同开发，作为清单中唯一的移动恶意软件。它适用于Android和iPhone，在2014年Snowden泄露期间被发现。

至于功能，iPhone的变体远比Android的变体先进。它可以从受感染的主机中检索任何内容，通过静默启用麦克风来收听附近的会话，甚至可以在手机处于睡眠模式时工作。

十三、Olympic Destroyer

在2018年平昌冬季奥运会开幕式期间，Olympic Destroyer被部署在网络上，电视台和记者大多受到这次袭击事件的影响。

据称，Olympic Destroyer是由俄罗斯黑客创建，对国际奥委会的一场报复，原因是反抗俄罗斯运动员参加冬季奥运会的兴奋剂指控，以及禁止其他人在俄罗斯国旗下的竞争。

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!