英国给学生提供的笔记本电脑竟然感染了恶意软件

 

事件概述

根据英国广播公司(BBC)的最新报道,英国教育部(DfE)向条件不好的弱势学生分发的一些笔记本电脑中竟然被发现已感染了恶意软件。

据了解,由于新冠疫情的严重影响,考虑到某些家庭条件不好的学生家里没有数字设备(只有智能手机或需要与其他家庭成员共用一台电子设备),英国教育部(DfE)决定向这些学生免费提供用于远程学习的笔记本电脑。

 

支持线上教学

这些感染了恶意软件的笔记本电脑是由英国政府部门免费发放给那些条件不好的学生的,以支持在新冠疫情期间无法获得远程教育的以及家庭条件不好的弱势学生能够实现远程线上学习。

为此,英国教育部(DfE)还专门跟移动网络运营商合作,以便让学生能够免费远程访问学习数据。这样一来,学生们足不出户即可在家中学习并远程参与学校的线上教学活动了。

 

幸运的是,感染目前还没扩散!

但是,根据Bradford学校教师透露的信息,他们在将笔记本电脑分发给学生之前,需要对笔记本电脑进行一些基础的安装和配置,但是在安装和配置英国政府提供的Windows笔记本电脑时,他们竟然在其中的某些文件内发现感染有恶意软件。

其中的一位老师表示:“拆开笔记本电脑的包装之后,我们会对笔记本电脑进行一些基础配置以便学生能够更好地去使用它们进行远程学习。但是在准备设备的过程中,我们发现有一些笔记本电脑竟然感染了一种能够自我传播的网络蠕虫病毒!”

根据知情人士透露,截止至2021年1月份,英国教育部(DfE)已经向英国全国各地的学校、学院信托基金会(trusts)和地方政府(LAs)交付了八十多万台笔记本电脑和平板电脑。

而英国教育部(DfE)的一位官员在接受英国广播公司(BBC)的记者采访时也表示:“我们目前已经收到了相关事件的调查报告,并且也发现确实有少量设备存在安全问题,我们现在也在对此次事件展开紧急调查,并希望尽快解决这件事情,让学生能够安全地使用这些设备来进行远程线上学习。英国教育部(DfE)的信息技术团队正在跟报告此问题的人员联系,不过我们认为只有少量设备受到了影响,这种情况并不普遍。”

 

Gamarue僵尸网络恶意软件

安全研究人员分析后指出,在受感染的笔记本电脑上发现的恶意软件是Gamarue(又名Andromeda),这是一种模块化的恶意软件。根据此前的研究结果,这款恶意软件是俄罗斯和东欧网络犯罪分子常用的一款恶意软件。

Gamarue恶意软件目前可以直接在暗网市场上购买到,在Gamarue恶意软件的帮助下,攻击者可以使用Teamviewer插件控制受感染的设备。

Gamarue恶意软件还支持键盘记录器、RootKit、Socks4/5代理服务器和formgrabber插件等攻击组件,这将允许攻击者获取用户的键盘击键信息、在目标设备上实现持久化感染、重定向恶意流量和窃取网页浏览器的输入数据。除此之外,Gamarue恶意软件还可以修改目标设备的计算机设置,并窃取目标用户的个人信息以及存储的文档。

在感染途径方面,Gamarue恶意软件一般会通过漏洞利用工具、网络钓鱼网站以及恶意电子邮件附件来感染目标用户的个人电脑(PC)。

 

下图显示的就是Gamarue恶意软件的攻击链(微软提供):


研究人员表示,某些Gamarue恶意软件变种还具备了蠕虫病毒的功能,这将使得这款恶意软件能够通过受感染的可移动设备(比如说移动硬盘或USB闪存驱动器)来传播并感染其他的设备。

然而,自2011年研究人员首次发现了Gamarue恶意软件样本以来,Gamarue恶意软件的主要用途是传播和感染其他恶意软件的Payload,其中包括但不限于Petya、Troldesh和Cerber勒索软件、用于DDoS攻击的Kasidet恶意软件(也被称为Neutrino Bot)、Lethic垃圾邮件Bot以及Ursnif、Carberp和Fareit信息窃取型恶意软件。

 

总结

虽然微软早在2017年就已经跟相关执法部门以及其他合作伙伴合作,并在全球协调行动中关闭了相关恶意软件的服务器,并打击了Andromeda僵尸网络的活动。但时至今日,这种恶意软件每天仍然在使用可移动驱动器传播模块来大规模感染用户的计算机设备。

(完)