卡巴斯基实验室的安全研究人员发现，攻击者正在筹划一个代号为“云图”的新兴网络间谍活动，而这与两年前发生的全球大型间谍活动“红色十月”如出一辙。

 

　　科普：关于“红色十月”

在2012年10月，卡巴斯基实验室全球研究&分析团队发起了一项关于新威胁的研究，研究的目标是目前针对各种国际外交服务机构的网络攻击。在调查过程中，一个大型的网络间谍网络被揭露和分析，我们称之为“红色十月(RedOctober)”(来源于著名的小说《猎杀红色十月»)

Red October的攻击者从数个国家的外交、政府、军事、科研机构、石油公司、贸易公司等中窃取了大量的机密信息，这些国家主要是东欧国家、前苏联成员国和中亚国家。

 

在卡巴斯基公开揭露Red October的间谍活动之后，该组织立即中断了他们的行动，还把他们攻击时所使用的命令与控制(C&C)服务器报废了。研究人员称，像如此大规模的网络间谍活动，攻击者们往往投入巨大，因而不会轻易罢手。于是仅仅在Red October暂停了数月后，改头换面后的Red October——“云图(CloudAtlas)”出现了。

 

　　“红色十月”和“云图”的异同

自2014年8月份以后Red October就再也没有出现过。近期研究者们检测到一系列利用CVE-2012-0158而发动的攻击以及一个不同寻常的恶意程序，研究者们把这次的网络攻击活动命名为“云图(CloudAtlas)”。

研究者们注意到CloudAtlas与Red October有很多相似之处，如都使用了同种钓鱼攻击：都使用了名为Diplomatic Carfor Sale.doc的恶意文件，针对相同的攻击目标，使用相同的TTP(技术、策略和程序)，相同的攻击工具。这么多相似之处，使我们不得不相信CloudAtlas就是Red October的“复刻版”。

 

　　利用云服务器作为攻击设施

但是他们之间也有一些不同之处，如加密算法：RedOctober使用的是RC4，CloudAtlas使用的是AES。

专家们还发现了CloudAtlas的一些特别之处，CloudAtlas使用的命令与控制(C&C)服务器来自瑞典云供应商CloudMe，也就是说攻击者利用云服务器与受害者的机器进行网络通信。云服务提供商CloudMe已在其官方Twitter上证实了这一点，他们现在正在关闭所有与CloudAtlas C2有关的账户。

 

(责任编辑：安博涛)