赛门铁克的安全专家发现一起针对数个前苏联国家的使馆工作人员的大规模网络间谍活动。已经检测到位于法国，比利时，乌克兰，中国，约旦，希腊，哈萨克斯坦，亚美尼亚，波兰，德国等超过15个使馆都已经成为黑客的目标。

通常看到这种类型的攻击，第一想法就是背后有国家支持。根据安全专家的调查，攻击者依然是使用的水坑攻击。至少有84个使馆工作人员常去的网站被攻破，用来实施此次攻击。在攻击的第一阶段，使用了已知的恶意程序Wipbot(Tavdig)。在后续的渗透中使用了更加复杂的恶意程序(像Turla，Uroboros等)。

Wipbot是13年11月以来十分活跃的一个恶意软件，曾利用CVE-2013-5065进行传播。一个典型木马传播的过程图如下：黑掉目标用户常去的网站，在该网站上诱骗用户下载假的Shockwave安装包，用户执行程序就会感染木马。然后Wipbot会进行初步的信息收集，作为前期的一个侦查程序。如果该用户有足够的价值，接下来就会下载更高级的程序恶意程序Turla等进行进一步渗透。

 

赛门铁克的研究人员称，利用这种木马组合进行典型的网络间谍活动至少有四年的历史了。因为这些攻击者挑选的目标和使用高级的恶意软件，赛门铁克相信有国家级的团体支持这些攻击活动。一些安全专家相信是美国在支持这些攻击，但是通过对黑客行动的追踪发现攻击来源于UTC +4时区(莫斯科所在的时区)。

参考资料：

Trojan.Turla

Trojan.Wipbot

(责任编辑：安博涛)