如果2011年的網絡間諜活動仍然與2010年一樣的話，那么我們將看到大量針對特定目標的一次性攻擊，這些攻擊不僅會令研究者感到驚訝，還會繼續損害企業。

上述這段話來自于Mikko Hypponen，他是來自于赫爾辛基的安全服務公司F-Secure的首席技術官。在上周二舉行的2011年度RSA會議上，討論關于網絡間諜時，Hypponen以最近發生的攻擊事件為例，展示了網絡犯罪分子是如何在受害公司、政府組織或個人毫不知情的情況下竊取數據的。

Hypponen注意到，互聯網上的間諜活動與以經濟為目的的間諜活動截然不同，因為受攻擊的目標明確而具體——大多數是國防承包商、公共部門組織、政府及其部門機構和宣傳組織——攻擊者很少會因為經濟目的而攻擊這些組織，如親西藏的組織以及內蒙古少數民族支持者團體。

Hypponen說幾乎所有的定向攻擊都是通過電子郵件、在線聊天或者網頁滲透發生的。他說，大部分的攻擊都很相似：始于一封從一個看起來受信任的同事、客戶、伙伴或者朋友那里發來的電子郵件，聊著日常話題。

然而，實際上這些郵件都是攻擊者制作和發送過來的;郵件中包含了能夠觸發并打開受感染系統后門的代碼，通過后門犯罪分子可以不受阻礙地盜取數據、監視用戶并將用戶的電腦并入其不斷擴大的僵尸網絡中。

許多電腦被感染都是因為用戶缺乏安全意識或者僅僅是因為運氣不好，Hypponen說，以網絡間諜為目的的定向攻擊成功率很高，因為攻擊者專門研究了目標可能會感興趣的內容，然后以此創建惡意的郵件或其他文檔，并以合法的、第三方的身份發送這些郵件。

更糟的是，Hypponen說道，這類攻擊者越來越多地使用一次性的惡意軟件，導致反惡意軟件系統難以檢測。

“通常，如果在實驗室里我們有一個惡意軟件樣本，那也就意味著我們有該軟件的成百上千的樣本，”Hypponen說，但是在這些事件中惡意軟件是唯一的;研究人員以前從沒見過它們，以后也不會再次見到。

然而，一個保持不變的趨勢是，搭載惡意代碼的文件始終是那幾類。根據F-Secure公司的數據，2010年61%的定向攻擊依賴于惡意PDF文件;剩下幾乎所有的都是感染微軟的Office文檔，包括Word、Excel和PowerPoint。

具有諷刺意味的是，進行網絡間諜活動的攻擊者常常在郵件或者文件中包含有關網絡攻擊的信息。Hypponen展示了一封談論網絡沖突的惡意電子郵件，該郵件被發送至一個關注網絡戰爭的郵件列表，以整個列表內的人為目標。

他還提到了一個例子。一位安全分析師發現諾貝爾和平獎主頁上已被成功植入惡意軟件。他通報了這個問題，不久之后收到一封感謝他的電子郵件，附件中有一份PDF文件，邀請他參加即將到來的諾貝爾和平獎的受獎儀式。但問題是，這份郵件是偽造的，那份PDF文件實際上是一次定向攻擊。

Hypponen說，目前仍然很難檢測網絡間諜活動，但他推薦指導用戶不要打開意外的電子郵件附件。如果用戶收到了此類郵件，他們應該首先向郵件發送者確認。他還指出，大多數PDF漏洞都是針對Adobe Reader的缺陷，因此企業應該鼓勵使用另外的PDF閱讀器，以降低被成功攻擊的可能性。

“Adobe reader是我見過的最差的軟件，然后就屬QuickTime，”Hypponen說道。

Marc，一位來自美國政府機構的與會者，希望保持匿名。他說，很明顯用戶應該避免使用Adobe Reader，但問題是用戶并不知道它是多么不安全，也不知道換一個PDF閱讀器是多么重要。

另一位與會者Harry Bryson，來自英國，目前在惠普公司做軟件工程師。他說，惡意的PDF文件與社會工程學相結合，使得網絡間諜活動難以被停止。

【編輯推薦】

1. 梭子魚“應用安全·游刃有『魚』”發布會在杭州舉行
2. 趨勢科技中小企業安全軟件包構建“高性價比”防御平臺
3. 內網安全威脅重重 到底該如何檢測防范
4. 千招百式 讓無線局域網安全到底
5. 360安全專家提醒：關注帶毒強制視頻軟件