最近，Cyberkov安全事件响应小组发现了一个名为“利比亚蝎子”的黑客组织正在针对利比亚名人发起网络间谍活动。

提及利比亚，大家首先想到的可能就是动荡不安的社会环境，各种力量都在力争这一块富含石油资源的“宝地”的控制权。但是只有少数专家才会了解发生在此地的网络恶意活动。

很显然，现在事情已经发生了变化。最近，Cyberkov安全事件响应小组(CSIRT)的专家第一次收集到了针对利比亚不同区域发起的网络间谍活动，尤其是特里波利(Tripoli)和班加西（Benghazi）。

2016年8月6日，Cyberkov安全事件响应小组(CSIRT)发现了大量针对利比亚实体的Android恶意软件样本。Cyberkov专家注意到，该网络间谍组织将矛头指向各位利比亚名人（有影响力的政治人物），具体手段为利用AlienSpy（JSocket、JBIfrost、Unrecom或者Adwind）这一远程访问木马（简称RAT）感染其Android智能手机。

Cyberkov安全事件响应小组(CSIRT)的专家将发起此次网络间谍活动的黑客组织称为“利比亚蝎子（ LibyanScorpions）”。CSIRT指出，目标受害者曾接收到来自电信公司的警告，提醒其账户曾通过西班牙IP地址进行登录。

Cyberkov安全事件响应小组(CSIRT)发表的名为《捕获利比亚蝎子Hunting Libyan Scorpions》的研究报告指出：“利比亚蝎子黑客组织是具有明显政治动机的组织，已经针对利比亚多个城市的高层政治人物发起了攻击。

利比亚蝎子组织的攻击目标为名人

利比亚蝎子首先损坏利比亚名人的个人Telegram账号，随后目标受害者就会接收到来自电信公司的警告，提醒其账户曾通过西班牙IP地址进行登录。受害者以为不用变更个人密码，只需要直接从智能手机中删除该Telegram应用，就能够将恶意攻击者屏蔽。但实际上，一旦恶意攻击者入侵了上述账户就可以自由地与受害者的朋友进行交谈，引诱其下载并安装一款名为“Voice Massege.apk”的Android应用，并宣称其能够帮助大家解码一条重要的语音消息。”

Cyberkov公司指出，这款应用属于来自Google Play Store进行下载的合法Android应用，但由AlienSpy Android RAT进行过重新打包。其原始应用名称为URLShortener，经鉴定后确认为de.keineantwort.android.urlshortener。

进一步的调查显示，该恶意软件至少从2015年9月就一直活跃至今。

这个所谓的“利比亚蝎子”组织是具有明显政治意图的黑客团体，旨在手机和监视利比亚有影响力的政治人物。该组织在其恶意活动中使用了不同的恶意软件，这些恶意代码的设计目标主要为Android和Windows设备。

研究人员在对恶意代码进行逆向工程后发现，这款应用的命令与控制（简称C&C）服务器可回溯为位于利比亚本土的某利比亚电信商IP地址（41.208.110.46）。同一IP此前还曾被用于托管一项动态DNS服务，这意味着恶意人士曾利用这套基础设施作为多种恶意活动的中枢，而非单纯托管窃取到的数据。

Cyberkov发现，此前该恶意软件并没有上传至 VirusTotal（一个提供免费的可疑文件分析服务的网站），目前该恶意软件的第一个样本已经被我们上传完成。然而只有8/54的防病毒引擎可以检测出该恶意软件（检出率约为15%）。绝大多数美国顶级的杀毒公司都没有检测出该软件。

Cyberkov报告指出：

利比亚蝎子集团似乎并没有什么高水平的技能，但却拥有出色的社会工程和网络钓鱼技巧，运用手段来隐藏和运营他们的恶意软件。攻击者们采取的手段并不是特别复杂，但其非常清楚，攻击活动无需高度复杂亦可切实起效。利用恶意技术作武器，他们能够在利比亚这样的战乱地区通过追踪受害者的物理位置对其进行监视，或者执行暗杀或是绑架等活动。