研究详细介绍了17个用于攻击空隙网络的恶意框架

仅在2020年上半年，就检测到了四种不同的恶意框架，旨在攻击空腔网络，使此类工具包的总数达到17个，并为对手提供了网络间谍和泄露机密信息的途径。

ESET研究人员Alexis Dorais Joncas和Facundo Muñoz在对这些框架进行的一项综合研究中说：“所有的框架都是为了执行某种形式的间谍活动而设计的，[而且]所有的框架都使用USB驱动器作为物理传输介质，在有针对性的气隙网络中传输数据。”。

空气间隙是一种网络安全措施，旨在通过物理方式将系统与其他不安全网络（包括局域网和公共互联网）隔离，防止未经授权访问系统。这也意味着传输数据的唯一方法是连接物理设备，如USB驱动器或外部硬盘。

鉴于该机制是SCADA和工业控制系统（ICS）最常见的保护方式之一，通常由国家支持或参与的APT组织越来越多地将目光投向关键基础设施，希望用恶意软件渗透空气间隙网络，以监视感兴趣的目标。

这家斯洛伐克网络安全公司主要是为了攻击基于Windows的操作系统而设计的，该公司表示，不少于75%的框架被发现利用USB驱动器上的恶意LNK或自动运行文件，对气隙系统进行初始破坏，或在气隙网络中横向移动。

Some frameworks that have been attributed to well-known threat actors are as follows —

• 复古（DarkHotel又名APT-C-06或Dubinium）
• 拉姆齐（达克霍特尔）
• USBStealer（APT28又名Sednit、Sofacy或Fancy Bear）
• USBFerry（热带骑兵又名APT23或海盗熊猫）
• 范妮（方程式组）
• USBCulprit（地精熊猫又名Hellsing或Cycldek）
• PlugX（野马熊猫）和
• 代理人BTZ（图拉集团）

研究人员解释说：“所有框架都有自己的设计方法，但它们都有一个共同点：毫无例外，它们都使用了武器化的USB驱动器。”。“连接框架和离线框架之间的主要区别在于驱动器最初是如何武器化的。”

连接的框架通过在连接的系统上部署一个恶意组件来工作，该组件监控新USB驱动器的插入，并自动将毒害气隙系统所需的攻击代码放入其中，而离线框架，如Barrot Kangaro、Ezzese、，而ProjectSauron依靠攻击者故意感染他们自己的USB驱动器来后门攻击目标机器。

尽管如此，在没有USB的情况下，从空气间隙环境秘密传输数据仍然是一个挑战。尽管已经设计出了许多方法，通过利用以太网电缆、Wi-Fi信号、计算机的电源装置，甚至LCD屏幕亮度的变化作为新的旁道，来秘密地窃取高度敏感的数据，但利用这些技术的野生攻击尚未被观察到。

作为预防措施，建议拥有关键信息系统和敏感信息的组织防止在连接的系统上直接访问电子邮件，禁用USB端口并对USB驱动器进行消毒，限制在可移动驱动器上执行文件，并定期分析气隙系统是否存在任何可疑活动的迹象。

Dorais Joncas说：“维护一个完全气隙的系统有额外保护的好处。”。“但就像所有其他安全机制一样，空气间隙并不是一颗灵丹妙药，也不能防止恶意行为者掠夺过时的系统或糟糕的员工习惯。”