APT一直以其"高级""持续"的特点名列网络病毒系列榜首。其攻击对象高级,持续时间长,通常以年为单位。以下是各国情报和军事部门的网络安全部门列出的最危险,伤害力最强,最"臭名昭著"的恶意软件病毒名单。
是美国国家安全局 (NSA)及其英国对应政府通讯总部 (GCHQ)使用的复杂恶意软件和黑客工具包。 该恶意软件针对基于Microsoft windows的计算机的特定用户,并链接到美国情报收集机构。
在2014年被发现披露。但有更早的案例可追溯到2011年,有些怀疑该恶意软件早在2003年就已被创建(Regin的名字最早于2011年3月9日在VirusTotal网站上发现)。
在Regin感染的全球计算机中,有28%在俄罗斯 ,24%在沙特阿拉伯 ,在墨西哥和爱尔兰各占9%,在印度 , 阿富汗 , 伊朗 , 比利时 , 奥地利和巴基斯坦各占5%。
Regin已在外部署的已知案例包括对抗德国政府的比利时电信公司Belgacom,以及最近的案例是俄罗斯搜索巨头Yandex。
在技术层面,安全研究人员将Regin视为迄今为止最先进的恶意软件框架,其中包含用于数十个功能的模块,其中大多数是围绕监视操作而设计的,并且在被感染的主机上无法被发现。
也称为Flamer , sKyWIper 和Skywiper,是2012年发现的模块化计算机恶意软件 ,它攻击运行Microsoft Windows操作系统的计算机。 该程序在中东国家用于有针对性的网络间谍活动 。
伊朗国家计算机应急响应小组 (CERT)的MAHER中心, 卡巴斯基实验室和布达佩斯科技经济大学的 CrySyS实验室于2012年5月28日宣布了这一发现。被发现时,安全研究人员并未完全使用"恶意软件"一词来描述Flame。 当时,Flame非常先进,以致于他们使用"攻击工具包"一词来描述其结构,该结构有点像其大佬Regin。
就像前面提到的,Flame是在Flame框架之上工作的模块的集合,并根据操作员需要的功能进行部署。
该恶意软件是在2000年代由美国国家安全局(NSA)和以色列军队的网络部门以色列8200部队共同开发的。 该计划于2010年在伊朗部署,这是两国共同努力破坏伊朗核计划的一部分。
据说Stuxnet在发布时已经使用了四个不同的零日,已经专门针对目标工业控制系统进行了编码。 它的作用是通过提高和降低转子速度来修改用于核浓缩操作的离心机的设置,目的是引起振动并破坏机器。
该恶意软件非常成功,据说感染了200,000台计算机,最终摧毁了伊朗纳坦兹核设施的近1,000台离心机。
APT列表上第一个非美国开发的恶意软件是Shamoon,这是伊朗国家黑客开发的一种恶意软件。 它于2012年首次部署在沙特阿拉伯最大的石油生产国沙特阿美的网络上。 该恶意软件是一种数据擦除器,在2012年的攻击中摧毁了30,000多台计算机。
它于2016年在针对同一目标的第二次攻击中部署。 最近,它已经针对意大利石油和天然气承包商Saipem进行了部署,据称摧毁了该公司10%的PC机队。
2018年,研究网络安全的公司FireEye报告称,该恶意软件最有可能来自俄罗斯研究机构中央化学与机械科学研究所(CNIIHM)。
Triton于2017年部署, 在沙特阿拉伯一家石化厂首次发现。它是经过专门设计的,可与施耐德电气的Triconex安全仪表系统(SIS)控制器进行交互。 根据FireEye,Dragos和Symantec的技术报告,Triton旨在关闭生产过程或允许TriconSIS控制的机器在不安全的状态下工作。 从而可能导致工厂灾难。 它被称为"世界上最具杀伤力的恶意软件"。该恶意软件的代码泄漏最终发布在GitHub上。
Industroyer恶意软件,也称为Crashoverride,是由俄罗斯国家黑客开发的恶意软件框架,于2016年12月部署在针对乌克兰电网的网络攻击中。
这次袭击是成功的,并将乌克兰首都基辅的部分地区断电了一个小时,是有史以来第一个专门设计用来攻击电网的恶意软件。 该恶意软件被认为是诸如Havex和BlackEnergy之类的先前病毒的演变,该病毒也曾被用于攻击乌克兰的电网。 但是,与Havex和BlackEnergy更像是针对管理工业系统的系统部署的通用Windows恶意软件,Industroyer包含专门设计用于与西门子电网设备进行交互的组件。
Duqu被认为是以色列臭名昭著的8200军事网络单位的创建,于2011年被匈牙利安全研究人员发现。2015年发现了第二个版本,代号为Duqu 2.0。
部署的第一个版本是以辅助Stuxnet攻击,而第二个版本则用于破坏俄罗斯防病毒公司卡巴斯基实验室的网络。在奥地利和瑞士的旅馆的计算机上也发现了Duqu 2.0,也就是美国/欧盟与伊朗就其核计划和经济制裁进行了国际谈判的场所。
PlugX是一种远程访问木马(RAT),于2012年首次出现,它被归因于中国民族国家黑客的攻击。 自从发现以来,中国黑客被猜测已经彼此共享了该恶意软件,现在,它已被大多数中国民族国家团体广泛使用,这使得归因于一个团体变得异常困难。 此处提供了有关PlugX的良好技术报告。
Winnti与PlugX非常相似。 这是另一种中国制造的APT恶意软件毒株,最初由一个小组使用,但随着时间的流逝在所有中国APT中共享。
该恶意软件自2011年以来一直存在,被称为模块化后门木马。 安全研究人员最近发现了linux变体。
Uroburos是臭名昭著的Turla小组开发的rootkit,Turla小组是与俄罗斯政府有联系的世界上最先进的民族国家黑客组织之一。
根据G DATA的报告," rootkit能够控制受感染的计算机,执行任意命令并隐藏系统活动。"
Uroburos(也称为Turla或Snake rootkit)已得到广泛部署,并且对于限定的目标能有效的获得启动持久性并下载其他恶意软件。
它是Turla APT攻击的核心部分,早在2008年就已在欧洲,美国和中东的受感染计算机上看到过。目标通常包括政府实体。 在45个国家/地区都可以看到它。 2014年还发现了Linux变体。
是另一种来自中国的恶意软件,曾经被一个黑客团体使用,但后来被其他人共享和重复使用。
ICEFOG最早发现于2013年,在过去两年又卷土重来,推出了新版本,甚至是mac版本。
此列表中唯一的移动恶意软件,WARRIOR PRIDE是由美国国家安全局和英国GCHQ联合开发的工具。它可以在Android和iphone上运行,关于它存在的消息是在2014年斯诺登泄密期间。
在功能方面,iPhone版本比Android版本先进得多。它可以从受感染的主机中检索任何内容,通过静默启用麦克风来收听附近的对话,并且即使手机处于睡眠模式也可以正常工作。
Olympic Destroyer被部署在平昌2018年冬季奥运会开幕式上,破坏了互联网连接。电视台和新闻记者受袭击影响最大。
该恶意软件据说是由俄罗斯黑客创建的,并被用作国际奥委会的回报,以禁止冬季奥运会的俄罗斯运动员使用兴奋剂收费或禁止某些运动员在俄罗斯国旗下比赛。
恶意软件本身是一个信息窃取者,它将应用程序密码转储到受感染的系统上,黑客后来用来升级对其他系统的访问权限,随后他们从那里触发了数据擦除攻击,导致某些服务器和路由器瘫痪。首次袭击发生数月后,于2018年6月发现了新的奥林匹克毁灭者版本。
此列表中创建的唯一可感染路由器的APT开发的恶意软件是VPNFilter。该恶意软件由俄罗斯国家黑客开发,已在乌克兰基辅举行的2018年欧洲冠军联赛决赛之前进行了部署。
假定的计划是在决赛的现场直播中部署恶意软件并损坏路由器,这与在平昌2018年冬季奥运会开幕式上使用奥林匹克毁灭者恶意软件破坏互联网连接的方式类似。
幸运的是,思科Talos的安全研究人员看到了VPNFilter僵尸网络的组装,并在FBI的帮助下将其删除。据联邦调查局称,该恶意软件据说是由Fancy Bear APT创建的。
尽管出于不同的原因,2017年的三起勒索软件爆发都是由国家级黑客开发的恶意软件毒株。
其中第一个是WannaCry勒索软件,它是由朝鲜国家黑客开发的,其唯一目的是感染受害者为当时受到严厉经济制裁的平壤政权收集赎金。为了减轻这些制裁的影响,该政权利用黑客来抢劫银行,开采加密货币或运行勒索软件来收集资金。
但是,由于WannaCry代码中的错误,勒索软件的内部自我复制(蠕虫)组件不仅散布到本地网络,而且还感染了所有可见的东西,从而导致了全球性爆发。
WannaCry爆发两个月后,第二起勒索软件大爆发。这种勒索软件名为NotPetya,由俄罗斯的Fancy Bear(APT28)小组编码,最初仅在乌克兰部署。
但是,由于共享网络和企业VPN,勒索软件在全球范围内传播,类似于WannaCry,造成数十亿美元的损失。就像WannaCry一样,NotPetya使用EternalBlue漏洞作为其蠕虫组件的核心部分。
2017年最后一次全球勒索软件爆发是国家黑客的杰作。就像NotPetya一样,Bad Rabbit是俄罗斯黑客的作品,他们同样在乌克兰部署了它,但勒索软件在全球范围内传播,尽管与前两个WannaCry和NotPetya相比影响较小。
与NotPetya不同,它没有使用EternalBlue作为其主要传播机制,并且还包含许多《权力的游戏》参考。
EnternalBlue可能本身不是经典的恶意软件,更加像是一种利用程序,但它仍然是一个民族国家的实体开发的,所以放在APT名单上。 它是由美国国家安全局(NSA)开发的,并于2017年4月公开发布,当时一群被称为"影子经纪人"(Shadow Brokers)的神秘黑客在线发布了该代码。
EternalBlue发布后,首次用于加密货币挖矿活动中,但是在将其嵌入2017年三个勒索软件爆发的代码(WannaCry,NetPetya和Bad Rabbit)后,才真正成为一个广为人知和可识别的术语。
从那以后,EternalBlue没有被终止,反而被各种网络犯罪活动广泛使用,所有人都通过利用Windows计算机上配置错误的SMBv1客户端,将其用作传播到受感染网络内部其他系统的机制。
稿源: ZDnet,Wikipedia