一个新闻报道称:“网络分析和文件跟踪在网络广告中扮演着一个重要的角色,但是这些同样可以成为攻击者寻找潜在目标和发现弱点的工具。”
FireEye的安全研究员已经发现了一次将电脑分析和脚本跟踪注入超过100个网站的攻击事件。这些网站的浏览者不乏一些企业高管、外交官、政府官员和学术研究人员。
研究人员相信,这些被入侵的网站吸引了职业与国际商务旅行、外交、能源生产还有政治、国际经济和政府工作有关的访问者。因为这些受攻击的网站中有的属于大使馆、教育和研究机构、政府、签证机构、能源公司、媒体组织和非营利组织。
然而,目前还没有渗透和恶意代码通过被注入的脚本传送。攻击者的目的似乎是识别能够被他们作为攻击目标的特殊用户,他们将根据这些用户电脑和软件的具体配置进行针对性攻击。FireEye将这种侦查活动命名为WITCHCOVEN 并且FireEye认为这是受国家支持的攻击者的工作。
当用户访问已经被入侵的网站的时候,他们的浏览器悄悄的重定向到其中一个WITCHCOVEN 分析服务器上。脚本操控这些服务器搜集用户的信息,例如,用户的IP地址、浏览器类型及版本、语言设置、指向网站、微软办公软件的版本还有浏览器插件,像Java, Flash Player等。
另外,他们也在用户的浏览器里安装了所谓的supercookies或者是evercookies。这些文件很难清除,它们被用来在多个网站跟踪用户。
FireEye研究员在他们的报告中提到,“我们相信计算机对WITCHCOVEN脚本中搜集的和evercookie有联系的数据进行分析,然后持续识别一个特定用户,这些数据和来自于HTTP日志有用的浏览器基本数据相结合可以被计算机恐怖分子用来识别用户的兴趣,将他们定为攻击目标,利用他们电脑系统漏洞对他们进行攻击。
到目前为止,公司还没有检测到任何针对其客户的后续开发,不过这也可能是攻击者采用了高级的针对性途径选择攻击目标。
该攻击活动的后续开发可能会嵌入恶意文件和网络钓鱼邮件的附件并且不需要通过浏览器就可以到达目的。这些被搜集的信息同样可以用在传统的间谍活动中。
一些被入侵的网站表示,攻击者可能对一些个体有特殊兴趣。这些人可能和大型俄罗斯能源公司、俄罗斯文化组织、俄罗斯大使馆、乌克兰安全服务和边防警卫还有格鲁吉亚共和国内的一个媒体组织有关。
文章原文链接:https://www.anquanke.com/post/id/82952