以魔戒索伦为名！可能是另一个潜藏多年的国家级恶意程式

资安专家找到设计精良的恶意程式平台，而且一侵入系统就潜伏伺机偷窥机敏资料，看来极有可能是国家支持等级。这支恶意程式平台会避开重复行为模式，避免被追踪。由于程式码内有跟魔戒小说黑暗魔王索伦的线索，又被称为 ProjectSauron。

这支恶意程式平台，在 Kaspersky 实验室登记造册的名称是 ProjectSauron，而 Symatec 那边则是叫 Remsec。这两家公司从 2011 年开始就追踪这支恶意程式平台，目前已经在 30 个地方被资安专家发现。

由于程式码内，有用到英国作家托尔金的小说，么戒中的反派角色，黑暗魔王索伦的线索，而被称做 ProjectSauron。另一方面也许指 ProjectSauron 侵入电脑之后，有像魔戒中的真知水晶一样，有偷窥的效果。

▲ ProjectSauron 程式码内有用到 SAURON 命名 Lua script，因而得名。

ProjectSauron 最令人惊奇的地方在于能潜入对外无网络连线，实体隔离的地方。透过特制、有一大块虚拟磁区的随身碟，无法被系统轻易侦测。虽然详细的机制仍不清楚，像是是否有用到未公开的零时差漏洞，但 ProjectSauron 有至少 50 个模组，能够组合应用，运用在不同的入侵情境。

▲ ProjectSauron 入侵的国家分布。

ProjectSauron 设计的时候不轻易露出踪迹，不轻易使用相同的模式。像是不重复使用相同服务器、IP 位置，即便发现一次 ProjectSauron 的踪迹，并无法用来当作找其他被 ProjectSauron 侵入的线索。显然 ProjectSauron 从其他国家力量支持的专案学到教训，经常改变数位足迹。

ProjectSauron 能潜伏 5 年时间不被发现，表示极有可能背后是国家力量支持的专案。而在感染 ProjectSauron 的电脑中，却能看到 Regin，也许表示两者背后是不同单位甚至是国家的力量。目前除了政府单位以外，被入侵的机构还有科研机构、军事单位、电信服务商，以及金融机构。受害者分布在俄罗斯、伊朗、卢旺达、中国、瑞典、比利时，以及可能在一些说意大利语的国家。Symantec 则说他们在中国的航空公司，还有比利时的大使馆找到这款恶意程式的踪迹。