中国在进行国家级攻击方面，似乎已经形成经营模式。那些观察中国恶意软件的人说，先是国家创建软件，然后国家会为了自身的利益，将其交给很多其他的组织使用。

然而，O ' reilly先生说，所有的一切只是猜想，目前并没有直接证据表明PlugX来自于中国。

 

他说，这种恶意软件的最新版本危害很大，它使用几种不同的技术渗透到目标。我看到的版本是作为电子邮件的附件传递过来的。

他说，电子邮件是这次袭击的关键。使用PlugX的黑客组织在发送设置了陷阱的电子邮件之前，通常会做很多准备。他们会在目标公司中，选择某些可能更容易受到吸引的的人。

他补充说：“这些文件通常有合法来源，并且嵌入了恶意软件。”

具有讽刺意味的是， PlugX被植入在西藏的一份关于侵犯人权的报告中。

远程代理

感染从打开文档的那一刻就开始了。它使用Windows某个利用或者漏洞安装恶意软件。

 

俄罗斯也被认为是许多国家级恶意软件的幕后推手。

其中一个完全合法的Windows文件，它在运行时，会寻找一个特定的系统文件，PlugX中包括它需要的文件，这个文件已经修改过，可以用来安装实际的恶意软件。Windows的工作方式确保它会使用那个修改过的文件，而不是安全的那一个。

O ' reilly先生说：“一旦它获得立足点，并且确保自己将和Windows一起自动运行，就会联系创建者，获取下一步的指令。” 一旦PlugX在计算机上成功安装，攻击者就可以对计算机进行远程访问。”

他说："它有很多内置的功能，可以通过植入获取关键日志和屏幕截图。”

很明显，它和普通的恶意软件不同。

O ' reilly先生说：“这是由某个人控制的，它自身并不能造成什么破坏。”

Context是少数几家研究PlugX的公司之一，它通过网络取证，重现攻击者去过的地方和做过的事情。

他说：“在一次攻击中，入侵被杀毒软件捕捉到，我们能够看出它在尝试清除日志，它们知道到底应该去哪里。”

 

罗伯特·汉森在联邦调查局工作了27年，但被认为一直在将信息传递给俄罗斯，这已经持续了22年。

资深间谍猎手Eric O'Neill协助曝光了双重间谍——前联邦调查局特工罗伯特·汉森。

他说：“在从前，间谍需要潜入大楼窃取文件。现在他们已经不需要这么做了，间谍已经进化了。”

他说，一个成功的国家级网络活动可以获取的信息，比从双重间谍那里获得的要多得多。

在窃取某些人的数据后，外国势力可以迫使一些人为他们工作。

他说：“有三种招募人员的主要方式——利用意识形态、贪婪和勒索。”

数据库中的医疗信息可以提供某些线索，例如债务或个人问题等，这些东西可以让一个人妥协。

他说：“你必须知道你要攻击的是谁，以及他们是否有可能受到意识形态、贪婪或敲诈的影响。”

现工作于安全公司Carbon Black的奥尼尔说：“这种类型的攻击不容易进行，但如果公司认为自己不会成为目标，这种想法就十分愚蠢。”

他说：“这些人都是间谍，不是黑客。他们并不是那种随意发动攻击的人，而是蓄谋已久的。”

原文链接：http：//www.bbc.com/news/technology-34474879

(责任编辑：安博涛)