安全研究人员剖析最新发现的恶意软件工具包“Flame”，认为这个恶意软件是由国家资助的攻击活动，并且可能是情报收集行动的一部分。

　　由卡巴斯基实验室发现的Flame出现在黎巴嫩、叙利亚、苏丹和以色列的个人用户系统中。卡巴斯基研究人员表示，这个恶意软件大小为20兆，是非常复杂的恶意软件，旨在从目标个人收集尽可能多的数据。该代码库与臭名昭著的Stuxnet蠕虫病毒或Duqu木马病毒不同，但是攻击者的目标和技术有相似之处。

　　“虽然它的功能不同，但其目标的地理位置和高针对性，以及对特定软件漏洞的使用，让我们不得不联想到最近由身份不明的肇事者在中东部署的‘超级武器’，”卡巴斯基实验室首席安全专家Aleks Gostev在对Flame的分析中写道，“Flame可以说是迄今为止发现的最复杂的威胁之一。它非常复杂，几乎重新定义了网络战争和网络间谍的概念。”

　　Flame可以让攻击者记录音频和键盘输入，窃取受害者机器上的文件和其他数据。同时，它还可以让攻击者直接控制，允许攻击者添加新功能，删除痕迹以逃避检查。卡巴斯基指出，从加密、插入功能以及编程语言来看，这个复杂的工具包是由资金充足的组织开发的。研究人员还没有确定这个恶意软件是如何传播的，以及是否利用了任何零日漏洞。

　　匈牙利CrySyS实验室的分析确定了这个Flame恶意软件工具包可能早在2010年就已经被使用。CrySyS(称这个恶意软件为Skywiper)表示，可能不是同一个开发团队，很可能是该组织聘请多个开发团队来实现相同的目标。

　　美国公司面临的风险

　　该恶意软件极具针对性，研究人员表示，它可能是一个更广泛的网络战争的一部分，旨在感染少数个人系统。在伊朗检测到不到200个感染系统，在中东和北非其他国家感染情况更少。

　　“当然，研究人员不得不承认这似乎是一个很有趣的恶意软件，”Spire Security公司研究主管Pete Lindstrom表示，“首席信息安全官们应该从专业的水平来看这个有趣的恶意软件。”

　　根据卡巴斯基实验室表示，没有迹象显示受该恶意软件感染的系统位于企业网络。20兆的大小让它很难在企业网络中保持隐身状态，Lindstrom表示，安全专业人员应该确定公司的安全软件能否识别这个恶意软件代码。日志审查也将有助于找出恶意代码。

　　Lidnstrom表示：“首席信息安全官应该仔细研究这个恶意软件的特征，以判断这种恶意软件是否能够感染他们的环境，以及他们应该如何应对这种攻击。”

　　Circle Network Security公司安全操作主管Andrew Storms表示，从技术的角度来看，为了防止受恶意软感染，需要进行很多反编译和分析工作。从更广泛的角度来看，这种威胁也表明首席信息安全官很难把握攻击者。

　　Storms表示：“我们在这里看到的是一个重大转变，曾经我们面对的是经典攻击者，而现在越来越多的证据表明，我们面对的是受国家资助的恶意软件和攻击活动。”

　　积极的首席信息安全官们会将注意力放在Flame构成的任何威胁上，但是更重要的是，继续注重基本安全措施，Storms表示，了解公司最重要的数据放在哪，知道谁能访问这些数据，并开展企业安全防御和检测。

　　“我觉得我们应该跳出网络战争的想法，只是将它定义为企业面临的风险，并确定潜在的威胁因素，”Storms表示，“这并不于网络战争，而是知识产权，以及你应该采取怎样的行动来保护会被偷走的资产。”

(责任编辑：)