据媒体报道,网络安全厂商卡巴斯基日前表示,在其采集的样本中发现了美国中央情报局(CIA)开发的恶意软件。.该公司的一位发言人指出,分析师在该公司和其他网络安全供应商于2019年2月收集的“恶意软件样本集”中发现了该恶意软件。虽然初步分析未显示与先前已知的恶意软件样本共享代码,但卡巴斯基重新分析了这些文件并发现这些样本交叉了Lambert点所见的各种编码模式、风格和技术。Lamberts是卡巴斯基用来跟踪中央情报局行动的内部代号。维基解密在四年前公布了这个名为Vault7的漏洞,该漏洞将CIA黑客工具暴露给了公众。美国安全服务赛门铁克公开将Vault7黑客工具与CIA和LonghornAPT(兰伯特的别名)联系起来。卡巴斯基表示,由于这些新发现的样本与中央情报局开发的恶意软件之间存在一些共性,它现在正在追踪一个新的恶意软件集群PurpleLambert。根据PurpleLambert元数据,这个恶意软件样本似乎是在7年前(2014年)编译的。卡巴斯基认为PurpleLambert样本可能会在2014年部署,最晚不晚于2015年。至于这个恶意软件的作用,卡巴斯基对PurpleLambert的描述似乎表明该恶意软件充当特洛伊木马,侦听网络流量中的特定数据包这将在受感染的主机上激活它。卡巴斯基日前发布的季度APT报告的完整描述如下:“紫色兰伯特由多个模块组成,其网络模块被动监听数据包。它能够为网络攻击者提供有关受感染系统的基本信息并执行接收到的有效载荷。它的功能让我们想起了另一个用户模式被动侦听器GrayLambert。在数起数据泄露事件中,GrayLambert已被证明可以替代内核模式被动侦听器。此外,PurpleLambert实现了与GrayLambert和WhiteLambert相似的功能,但采用的方法不同。”除了ShadowBrokers和Vault7漏洞外,媒体对美国网络间谍和黑客工具的报道在网络安全领域相对较少。自从Vault7导致数据泄露以来,只有三份关于CIA开发恶意软件和黑客攻击的报告:第一份是2018年3月的卡巴斯基,该报告揭示了美国网络司令部在中间针对ISIS战士的情报收集行动东方。第二个是ESET于2019年11月发布的调查报告,其中揭示了与CIA/Lamberts相关的另一种恶意软件DeDeMon。三是中国安全服务提供商奇虎360于2020年3月发布的一份报告,披露美国中央情报局对中国民航部门实施网络攻击长达11年之久。
