安全公司ESET的研究人员对代号“动物农场”的APT黑客小组开发的高级间谍平台Dino进行了一番深入细致的分析。
2014年3月,一家法国出版物发表了几张斯诺登泄露的幻灯片时,动物农场使用的一款恶意软件便曝光于人前了。该幻灯片属于加拿大通信安全局(CSE),描述了一个代号为“雪景球行动”的任务。
文件揭示了行动中用到的一些工具和一份目标组织清单,还提到行动背后的小组很有可能受到法国情报机构的支持。
自从幻灯片曝光,很多安全公司获取了有效恶意软件样本和与CSE在文件中所描述的类似的代码。
过去几个月里,ESET、Cyphort和G DATA的专家们在Babar、EvilBunny(Bunny)和Casper上发表了数篇文章。动物农场所用的恶意软件家族包括NBot、Tafacalou(TFC/Transporter)和Dino。
ESET表示,Dino是一款采用不同模块实现其功能的高级后门。它的主要目的似乎是从被感染系统中盗取文件。ESET分析的样本是2013年针对伊朗企业目标使用的。
ESET 研究员琼·卡尔维已经跟踪研究动物农场好几个月了,她在一篇博客文章中指出:Dino一名有可能出自动画系列剧《摩登原始人》中的那条宠物恐龙。值得一提 的是,专家们认为,Babar这个名字可能是受了一本法国儿童读物中虚构的大象形象的启发,而Casper则有可能根植于卡通系列剧《鬼马小精灵》的主 角。
该安全公司称Dino的初始感染方式尚未查明,但怀疑它是由另一个程序安装的。在3月份一篇关于动物农场APT的博客文章中,卡巴斯基实验室宣称Tafacalou就是该黑客小组其他两个更高级的间谍平台Babar和Dino的入口点。
一旦感染系统,Dino可以根据指令从被感染主机上获取系统信息,执行Windows批处理命令,搜索指定文件,上传文件到命令与控制服务器(C&C)或从(C&C)上下载文件。恶意软件操作者还可以指定指令的执行时间,以及从系统中卸载恶意软件而几乎不留下曾经存在过的痕迹。
专家们已经发现Dino与动物农场恶意软件家族里的其他威胁共享多段代码,清晰标识出其间的关联性。而且,Dino还提供了更多的证据表明这些恶意软件家族的开发者们是说法语的。
更新一些的动物农场恶意软件,比如侦察工具Casper,语言标志符已经被设置成了英语。但是,Dino里,语言代码还是1036,也就是法语。值得注意的是,除非手动设置,否则编译器会自动将该标识符设置为与开发者主机的相同。
卡尔维指出,尽管法语语言代码标识符有可能是故意设置的假象,但更有可能的是开发者在编译Dino时忘记更改语言标识符的值了。
表明Dino开发者讲法语的另一份证据是一个文件路径,该路径里包含了一个词“arithmetique”,也就是英语“arithmetic(算法)”相对应的法语词汇。
研究人员强调:尽管Dino看起来像是由专业资深开发者创建的,他们并没有将太大精力投入反分析功能,不像如Casper等其他动物农场恶意软件所呈现的那样。