专攻北约和政府目标的黑客组织Strontium

有一个名为Strontium的黑客组织专门通过社会工程学技术并结合0day漏洞，近一年来一直以政府系统为攻击目标。微软恶意软件防御中心的专家指出，黑客自2007年起就呈活跃状态，尤其是近几年来，专门针对政府机构、外交机构、以北约成员国和一些东欧政府的军事力量和军事实施发动攻击。

Strontium黑客组织花费很长时间从社交媒体和邮件列表的角度分析攻击目标，试图找到能够访问目标的人员。微软研究人员表示，数千人已被卷入攻击。

他们实施攻击的第一步通过钓鱼邮件执行，主要是通过看起来比较可信的密码重置邮件实施。为了显得真实，Strontium黑客组织会从跟正确地址类似的域名发送这些邮件，例如accounts.g00g.com或electronicfrontierfoundation.org等。

一旦得手，黑客就会搜索邮件日志和系统信息来找出对目标系统拥有管理员权限的人员。随后发送第二批邮件，而邮件内容一般跟当前社会事件相关，鼓励目标点击包含恶意软件的URL。

当Hacking Team服务器被黑时，Strontium快速利用其中所暴露出的0day漏洞，并且逆向工程补丁在补丁刚发布的几天时间里予以利用。Adobe Flash Player、Oracle Java Runtime Environment (JRE)、微软Word、IE以及Windows的一些核心组件都是黑客的抢手货。

攻击者利用的个性化恶意软件不仅将木马安装在系统上，还将其写入注册文件让清理变得更加困难。这个恶意软件的许多模块都包括密钥记录、关于本地计算机的信息收集、以及跟命令和控制服务器的远程通信等。

这个恶意代码能通过HTTP、SMTP和POP3跟黑客通信。恶意代码编写者很狡猾地让系统和听起来合法的地址通信。

微软并未说明攻击者的身份，但从这个黑客组织在攻击上愿意花费的时间、目标的选择和软件的复杂程度来看，很可能这个黑客组织受某国政府支持。