■王蕊

近日，卡巴斯基实验室发表了一篇有关Crouching Yeti 网络间谍行动的研究报告。该报告深度分析了Crouching Yeti所使用的恶意软件和命令控制（C&C）服务器架构。卡巴斯基实验室的研究显示，Crouching Yeti 网络间谍行动最早可以追溯到2010年末，并持续至今。现在，每天都会有新的受害者遭受这一间谍行动的攻击。

目前，全球范围内已知的受害组织数量已经超过2800家。其中，经卡巴斯基实验室研究人员证实的已达101 家。根据卡巴斯基实验室的研究，大多数受害企业或组织来自美国、西班牙、日本、德国、法国、意大利、土耳其、爱尔兰、波兰和中国，并且属于工业/机械制造业、制造业、制药行业、建筑业、教育行业或信息技术行业。从这些受害组织的性质可以看出，Crouching Yeti 网络间谍攻击很可能造成机密信息泄漏，如商业机密和专业知识。不仅如此，卡巴斯基实验室专家认为，Crouching Yeti 或许不仅能够对特定领域的目标发动针对性攻击，还是一种全面的监控行动，能够攻击并监视不同行业的企业和组织。

Crouching Yeti 究竟使用何种恶意工具对上述组织实施攻击行动？卡巴斯基实验室发现的证据表明，Crouching Yeti并非使用零日漏洞的复杂攻击行动，却潜伏多年，直至最近才被发现。此外，它使用五种恶意工具从受感染系统中窃取重要的信息和数据，分别是Havex 木马、Sysmain 木马、ClientX 后门程序、Karagany 后门程序和相关窃密程序、横向移动和二级工具。其中，使用最广泛的工具是Havex 木马。它有两个非常特殊的模块，可用于从特定的工业IT 环境中收集和窃取数据。

至于为何将此次攻击行动命名为Crouching Yeti，卡巴斯基实验室首席安全研究员Nicolas Brulez 表示：“最初，Crowd Strike 根据自己的命名规则，将这次攻击行动命名为Energetic Bear。其中的Bear 表明其属性，因为Crowd Strike 认为这次攻击行动的源头在俄罗斯。卡巴斯基实验室正在对现有线索进行调查，而且，目前没有足够的证据表明上述推测。此外，我们的分析表明，这次行动的攻击目标遍及全球，而非之前认为的仅仅针对能源行业。根据这些数据，我们决定重新为其命名。”据了解，卡巴斯基实验室的专家仍在同执法机关和业内合作伙伴合作，针对这次攻击行动进行研究和调查。