卡巴斯基發現自 2014 年以來一直猖獗的「無法檢測」的 CIA 間諜軟體

卡巴斯基在其最新季度報告中宣布發現了由中央情報局負責的間諜軟體。這種惡意軟體被稱為“Purple Lambert”，多年來一直受到人們的關注——研究人員估計，它自2015 年甚至2014 年以來就一直被積極利用。 。它預設不包含有效負載並被動接受命令，這解釋了檢測它的困難。

俄羅斯安全公司卡巴斯基在其最新的 2021 年第一季 APT 趨勢報告中宣布發現歸因於中央情報局的新惡意軟體。內洗禮“紫色蘭伯特”該間諜軟體是各防毒公司 2019 年 2 月收到的樣本集合的一部分。卡巴斯基研究人員最初完全沒有註意到它，但其團隊最近意識到該惡意軟體的程式碼與 CIA 生產的其他間諜軟體的程式碼有相似之處。

四年前，由於維基解密的洩密，我們了解到中央情報局 Vault7 計畫的存在。這是該機構為大規模監視世界各地的智慧型手機和電腦所採取的一系列措施，其中包括一系列專門的惡意軟體。隨著第一個中央情報局後門的發現，卡巴斯基開始談論“蘭伯特家族惡意軟體”指定這些程序。從那時起，這個術語就一直沿用下來：一旦卡巴斯基發現惡意軟體歸屬於中央情報局，它就會收到一個由顏色+蘭伯特一詞組成的名稱。

根據其元數據紫羅蘭伯特編於2014年。因此卡巴斯基認為至少自 2015 年以來，甚至可能從 2014 年起，它就一直未被防毒軟體偵測到。該惡意軟體似乎是專門為避免引起懷疑而設計的。惡意軟體的命令是被動監聽的，並且依賴於完全普通的「魔法資料包」。它們與 WoL 封包類型相同，可透過 Cmd 中的一個小命令同時將網路上的電腦從睡眠狀態喚醒。

卡巴斯基解釋：「Purple Lambert 由多個模組組成，其中包括一個被動等待接收魔法資料包的網路模組。它能夠向攻擊者傳輸有關受感染系統的基本訊息，並可以執行它收到的有效負載。這些功能讓我們想起了格雷·蘭伯特（Grey Lambert），另一種類型的被動控製程式。格雷·蘭伯特 (Grey Lambert) 原來是捲入多起事件的懷特·蘭伯特 (White Lambert) 的替代者。此外，紫羅蘭伯特雖然以不同的方式實現，但與灰蘭伯特和白蘭伯特具有相似的特徵」。

這種新惡意軟體的發現本身就是一個小事件。自從維基解密醜聞曝光以來，發現由美國情報機構所為的惡意軟體已變得罕見。並不是說這類程式的開發已經停止了——美國情報機構生產的惡意軟體似乎選擇提高複雜性，以免觸發警報。因此，自 Vault7 以來，僅發現了 3 種歸屬於美國情報機構的惡意軟體。

值得注意的是，有一個2018 年 3 月發現的針對網路路由器的惡意軟體– 它似乎主要針對中東打擊伊斯蘭國的行動區。 2019 年，ESET 還發現了同一家族的另一種惡意軟體。最近一次是在 2020 年 3 月，奇虎 360 曝光了新的惡意軟體，同時揭露了美國情報部門 11 年來如何針對中國民航部門。目前尚不清楚該公告的含義是什麼。例如，卡巴斯基在其新聞稿中並未確認下一版本的防毒軟體是否能夠偵測並移除 Purple Lambert。

另請閱讀：卡巴斯基將推出「無法破解」智慧型手機

卡巴斯基的季度報告根本沒有專門討論這項發現。該防毒公司估計 2021 年第一季最大的威脅是SolarWinds 遭駭客攻擊，發現大量 0day 缺陷SolarWinds 產品中的漏洞、Microsoft Exchange 伺服器中的漏洞，被駭客積極利用，甚至拉撒路海盜團的活動該組織利用網路瀏覽器中的 0day 漏洞攻擊安全研究人員的電腦。旨在竊取有關可利用安全漏洞的資訊的攻擊。