Lambert是卡巴斯基用以追蹤中情局駭客行動的代號。卡巴斯基掌握的Lambert家族包含多種顏色的惡意程式,從最早開採Windows TrueType字型零時差漏洞的BlackLambert,再發展出藍、綠、白、灰,以及最新的紫色。(情境示意圖,Original photo by Blogtrepreneur, CC BY 2.0, https://www.flickr.com/photos/143601516@N03/29402709463/in/photostream/)

卡巴斯基近日公布一隻惡意程式樣本的分析研究,顯示可能是美國中情局(CIA)發展的攻擊工具。

這隻後門程式為2019年2月卡巴斯基及多家防毒廠商蒐集到的樣本之一,它的手法之複雜引起了研究人員的注意。根據分析,這隻程式是在2014年組譯而成,並可能在2014年、最遲2015年底部署於網路上。雖然它的程式碼未見於任何已知惡意程式,但是編碼型態和所用技巧,則和卡巴斯基發現的Lambert家族惡意程式有多處共通性,因此他們將之命名為Purple Lambert

Lambert是卡巴斯基用以追蹤中情局駭客行動的代號。它等於賽門鐵克2017年分析維基解密(Wikileaks)揭露的中情局Vault7檔案中,所發現到的Longhorn,都指向和CIA有關的駭客工具或組織。

卡巴斯基掌握的Lambert家族包含多種顏色的惡意程式,從最早開採Windows TrueType字型零時差漏洞的BlackLambert,再發展出藍、綠、白、灰,以及最新的紫色。

卡巴斯基指出,Purple Lambert包含多種模組,以網路模組被動聽取魔法封包(magic packet,用以遠端電腦開機)。Purple Lambert類似Lambert家族下的使用者模式被動聽取程式Gray Lambert,後者則是用以取代核心模式的被動聽取器White Lambert。而Purple Lambert則兼具Gray及White Lambert的特色。它可將感染系統的基本資訊提供給攻擊者,並執行由外部接收到的惡意酬載。

這是CIA工具少數被揭露的駭客工具。除了維基解密外,安全公司分別只在2018年的Slingshot、2019年的DePriMon惡意程式中,偵測到和Lambert相關的證據。去年中國資安業者奇虎360公布報告,顯示CIA從2008年到2019年間,持續針對中國的航太組織、科學研究機構、石油產業、網路公司與政府部門發動網路攻擊。


熱門新聞

Advertisement