マルウェア検出を専門とするFireEyeは、 2012年には何百もの顧客から収集したデータです。疑わしい活動については1200万件の報告があり、そのうちの2,000件が高度な永続的脅威(APT)に分類されていました。
2000件の事件の大部分は、中国で開発されたリモートアクセスツールであるGh0st RATを採用しており、攻撃者がiを盗むことを可能にしています犠牲者のコンピュータからの情報。 2009年、コンピュータセキュリティ研究プロジェクトであるInformation Warfare Monitorとトロント大学の研究者は、103カ国で1,000台以上のコンピュータをターゲットとしたGhstst RATを使用した広範なサイバースパイ活動を報告した[
]。あなたのWindows PCからのマルウェア]
FireEyeのレポートは、攻撃者が被害者から情報を抽出し、感染したコンピュータ上のマルウェアや「コールバック」アクティビティを制御する方法。 2012年のデータによると、攻撃者はコマンド制御サーバーを使用して184カ国のマルウェアに命令を出しており、2010年に比べて42%増加しています。
韓国はコールバック活動を集中しています。テクノロジー企業のサーバーは、ハッカーが標的とする傾向があり、感染したマシンと通信する傾向があります。ライヒウォルド氏によれば、FireEyeの報告書によると、「ある意味では、韓国はRATに悩まされている[遠隔地アクセスツール]をクリックします。 2012年のデータから、韓国は世界のトップコールバックの1つであり、コールバック活動のいくつかはより標的化された攻撃に関連していることが明らかになっている」と述べている。
ハッカーは盗まれた情報をデータを通常のトラフィックのように見せるためです。マルウェアはまた、TwitterやFacebookなどのソーシャルネットワーキングサイトを利用して、感染したマシンの指示を出すこともあったと、FireEye氏は述べている。
同社はハッカーの行動の変化に気づいた。通常、コマンド・アンド・コントロールのサーバーは被害者とは異なる国に配置されていました。今では、同じ国でコマンドインフラストラクチャを探しており、トラフィックを正常に見せるようにしています。
しかし、一部の国では、標的国の制御サーバーをハッカーが気にしませんでした。カナダとイギリスはともに海外へのコールバックトラフィックの割合が高かった。レイチェルド氏によれば、攻撃者はおそらくこれらの国ではそうしていないだろう。「彼らは彼らが検出されないことを知っていたからだ」と述べた。