本文试图列出各国军事情报部门网络安全部门开发的危险、有效和特别著名的恶意软件列表,其中一些可以说是已经出名很久了,其他人很可能你没有听说过它......但这就是它的危险。1.ReginRegin被认为是历史上最先进的国家级恶意软件家族,由NSA开发并与其五眼联盟伙伴(主要是GCHQ)共享。它于2014年公开披露,但最早的样本可以追溯到2011年,尽管有人怀疑Regin早在2003年就已创建。一些已知的Regin被野外部署的案例包括比利时电信公司、德国反动政府和最近,俄罗斯搜索巨头Yandex。在技??术层面,安全研究人员认为Regin是迄今为止最先进的恶意软件框架。它有几十个功能模块,其中大部分是围绕监控操作设计的,以确保被感染的主机不被发现。2.Flame在2012年被发现时,安全研究人员并没有准确地使用“恶意软件”这个词来描述Flame。当时,Flame非常先进,以至于大家都喜欢称其为“漏洞利用工具包”。Flame有点类似于它的“老大哥”Region,同样是工作在框架之上的模块集合,根据运维者需要的特性进行部署。2012年,伊朗国家认证中心MAHER中心在针对伊朗政府机构的攻击中发现了Flame。这一发现是在震网恶意软件攻击发生两年后发现的,该攻击很快与EquationGroup(美国国家安全局的代号)相关联。Flame后来也被发现在针对其他中东政府的攻击中。目前,Flame的维基百科页面包含所有与火焰相关的发现。3.StuxnetStuxnet是列表中唯一拥有自己的纪录片的恶意软件。该恶意软件是在2000年代由美国国家安全局和以色列军方的网络部门以色列8200部队共同开发的。作为两国破坏伊朗核计划努力的一部分,于2010年部署在伊朗。据称,在发布时,Stuxnet使用了四种不同的零日攻击,专门针对工业控制系统进行编码。它所做的是通过提高和降低转子速度来修改控制核浓缩操作的离心机的设置,最终导致振动并损坏机器。该恶意软件非常成功,据说已经感染了超过200,000台计算机,并最终摧毁了伊朗纳坦兹核设施的近1,000台离心机。4.ShamoonShamoon是名单上第一个非美国开发的恶意软件。它由伊朗国家黑客开发,并于2012年首次部署在沙特阿拉伯最大的石油生产商沙特阿美公司的网络上。在2012年的攻击中,数据擦除器摧毁了30,000多台计算机。它于2016年第二次针对同一目标部署,最近又针对意大利石油和天然气承包商Saipem,据称摧毁了该公司10%的PC机队。5.TritonTriton,也称为Trisis,最近被添加到列表中。该恶意软件被认为是由俄罗斯研究实验室开发的。Triton于2017年部署,专为施耐德电气Triconex安全仪表系统的控制器交互而设计。根据Fireeye、Dragos和赛门铁克的技术报告,Triton旨在关闭生产流程或让Tricon控制的机器在不安全的条件下工作。该恶意软件的代码被泄露并最终发布在Github上。6.IndustroyerIndustroyer,也称为CrashOverride,是由俄罗斯国家黑客开发的恶意软件框架,并于2016年12月部署在针对乌克兰电网的网络攻击中。这次袭击使乌克兰首都基辅部分地区的电力中断了一个小时。该恶意软件被认为是Havex和Blacknergy(也被用于攻击乌克兰电网)等软件的演变。然而,与Havex和Blacknergy不同,它们更像是部署用于管理工业系统的Windows通用恶意软件,Industroyer具有专门设计用于与西门子电网设备交互的组件。7.DuquDuqu被认为是由以色列臭名昭著的8200军事网络单位建立的。2011年,匈牙利安全研究人员发现了Duqu,其第二个版本于2015年被发现,代号为duqu2.0。第一个版本帮助了震网攻击,第二个版本破坏了俄罗斯反病毒公司卡巴斯基实验室的网络。Duqu2.0还在奥地利和瑞士酒店的计算机上被发现,美国/欧盟就伊朗的核计划和经济制裁与伊朗进行了国际谈判。8.PlugXPlugX最早出现于2012年,是来自中国黑客的远程访问特洛伊木马(RAT)。被发现后,中国黑客似乎相互共享了该软件,现在中国国家组织广泛使用该软件,很难直接将它们归为一个团体。这里有一份关于plugx的技术报告。九、WinntiWinnti和PlugX很相似。这是另一种中国制造的APT恶意软件病毒,最初由一个组织使用,但随着时间的推移逐渐在中国所有APT中共享。该恶意软件自2011年开始开发,被称为模块化后门木马。安全研究人员最近还发现了Linux变体。Winnti和PlugX非常相似。这是另一种中国制造的APT恶意软件病毒,最初由一个组织使用,但随着时间的推移逐渐在中国所有APT中共享。该恶意软件自2011年开始开发,被称为模块化后门木马。安全研究人员最近还发现了Linux变体。10.UroburosUroburos是臭名昭著的TurlaGroup开发的Rootkit,TurlaGroup是世界上最先进的民族国家黑客组织之一,与俄罗斯政府有一定联系。根据GDATA报告,“rootkit能够控制受感染的计算机,执行任意命令并隐藏系统活动。”Uroburos(也称为Turla或Snakerootkit)被广泛部署并且非常有效,因为它的目的非常明确:获得持续启动并下载额外的恶意软件。Uroburos是TurlaAPT攻击的核心部分,该攻击早在2008年就出现在欧洲、美国和中东的受感染计算机上,通常以政府机构为目标。它已经出现在45个国家,2014年还发现了一个Linux变种。11.ICEFOGICEFOG是另一种中国恶意软件,曾经被一个团体使用,后来被其他人共享和重用。ICEFOG于2013年首次亮相,在过去两年中以新版本(甚至是Mac版本)卷土重来。查看更多报道。12.WARRIORPRIDEWARRIORPRIDE是由美国国家安全局和英国GCHQ联合开发的,是列表中唯一的移动恶意软件。它适用于Android和iPhone,并在2014年斯诺登泄密事件中被发现。至于功能,iPhone版本比Android版本先进得多。它可以从受感染的主机检索任何内容,通过静默启用麦克风来收听附近的对话,甚至可以在手机处于睡眠模式时工作。十三。OlympicDestroyer2018年平昌冬奥会开幕式期间,网络上部署了OlympicDestroyer,受害的电视台和记者居多。据称,OlympicDestroyer是由俄罗斯黑客创建的,目的是报复国际奥委会在冬季奥运会上打击针对俄罗斯运动员的兴奋剂指控,并禁止其他人以俄罗斯国旗参赛。该恶意软件本身是一种信息窃取器,它将应用程序密码转储到受感染的系统上,允许黑客使用它来升级对系统的访问,之后他们触发数据擦除攻击,导致一些服务器和路由器崩溃。袭击发生几个月后,即2018年6月,新版本的OlympicDestroye再次被发现。14.VPNFilterVPNFilter是列表中唯一用于感染路由器的APT恶意软件。它由俄罗斯国家黑客开发,并提前部署在2018年欧洲冠军联赛决赛举办地乌克兰。最初的计划是在决赛直播期间部署恶意软件并破坏路由器,类似于OlympicDestroyer在2018年平昌冬奥会开幕式上的攻击方式。幸运的是,CiscoTalos的安全研究人员看到了正在组装的VPNFilter僵尸网络,并在FBI的帮助下将其取缔。根据FBI的说法,该恶意软件是由FancyBearAPT创建的。15.WannaCry尽管起因各不相同,但2017年爆发的三起勒索软件都是由少数民族黑客开发的恶意软件。第一个是WannaCry勒索软件,由朝鲜黑客开发,其唯一目的是感染受害者并向当时受到严厉经济制裁的平壤政权收取赎金,并为减轻制裁的影响,该政权使用国家黑客抢劫银行、挖掘加密货币或运行勒索软件来收集资金。然而,WannaCry代码中的问题使其能够传播到本地网络之外,勒索软件的内部自我复制(蠕虫)组件变得混乱并感染了所有可见的东西,导致全球爆发。16.NotPetyaWannaCry事件两个月后,第二次勒索软件爆发席卷全球。这个勒索软件被称为NotPetya,由俄罗斯组织FancyBear(APT28)编码,最初只部署在乌克兰。然而,NotPetya由于共享网络和企业VPN而在全球蔓延,类似于WannaCry,造成数十亿美元的损失。NotPetya还使用EternalBlue漏洞作为其蠕虫组件的核心部分。17.BadRabbit2017年的上一次全球勒索软件爆发也是由国家黑客带来的。与NotPetya一样,BadRabbit也是俄罗斯黑客的作品,他们也在乌克兰部署了它,随后在全球传播,尽管其影响不如WannaCry和NotPetya。BadRabbit与NotPetya不同,它不使用EternalBlue作为其主要交付机制,并且还包括许多《权力的游戏》参考资料。18.EternalBlueEnternalBlue本身可能不是恶意软件,在这个词的经典含义中,它更多的是一种漏洞利用,当然它仍然是国家开发的,所以它适合列表。EnterBlue由美国国家安全局创建并于2017年4月公开,结果,一个名为TheShadowBrokers的神秘黑客组织将代码发布到了网上。发布后,它首先被用于加密货币挖矿活动,直到2017年嵌入到WannaCry、NetPetya和BadRabbit这三起勒索软件爆发的代码中,才真正成为家喻户晓的名词。从那时起,EternalBlue一直存在,并被各种网络犯罪分子广泛用作一种机制,通过利用Windows计算机上配置错误的SMBv1客户端,将其传播到受感染网络中的其他系统。
