本月初，一名白帽黑客向美国电子行业媒体《Motherboard》爆料了他所窃取的一些与政府组织存在关联的黑客组织——ZooPark的数据。

ZooPark的背景知识

其实本月早些时候，卡巴斯基就发布了一份对ZooPark组织的研究报告。ZooPark组织的复杂网络间谍攻击行动，多年以来一直对位于中东地区的多个国家的安卓设备用户进行攻击。这些攻击行动似乎是针对该地区政治组织、激进主义者和其他政治和社会机构目标。

这名黑客根据已掌握的资料猜测ZooPark很可能是一个具有美国背景的组织，目前其开发的恶意软件也被暂时成为“ZooPark”，ZooPark目前已经更新到第4代了。据分析，该恶意软件至少从2015年就开始活跃了。起初，这种恶意软件的技术原理和攻击功能都很简单，只是一个简单直接的网络间谍工具。最初它只会窃取被感染设备的帐户信息和通讯录联系人信息。不过到了第4代，ZooPark家族的网络间谍恶意软件的品种和攻击力就大大增强了。

最新版本的攻击力

信息窃取方面：攻击者已经可以窃取设备的联系人、盗取账户数据、监控通话记录和短信内容、窃取音频及录音资料、盗取存储在设备存储卡上的照片和视频、收集安装的应用程序详情以及包括搜索历史在内的浏览器数据、监控键盘输入记录以及剪贴板数据、过滤关键日志、GPS定位。 

后门功能包括：在被感染的设备上伪装成用户本人发送短信、拨打电话、执行shell命令。

另外，该恶意软件还有一个额外的恶意功能，针对即时通讯应用如Telegram、WhatsApp和IMO以及网页浏览器（chrome）和一些其他应用进行攻击。该功能可以让恶意软件窃取被攻击应用的内部数据库。例如，使用网络浏览器时，这意味着存储的其他网站的凭证可能因攻击而被盗。

ZooPark的传播途径和攻击区域

这位不愿透露姓名的黑客告诉《Motherboard》的编辑，他发现ZooPark的一台服务器就位于伊朗的德黑兰。

由于中东地区多年受战事的影响，因此一些特定地区的新闻和政治网站往往有较高的阅读量。黑客正是利用这些新闻话题，比如联合国救济和工程局的话题，来吸引受害者安装恶意软件， alnaharegypt.com 和alhayatnews.com就是重灾区，这些恶意软件伪装成alnaharegypt和alhayatnews等合法应用。

其实卡巴斯基的调查也显示，攻击重点为位于中东地区，主要包括埃及、约旦、摩洛哥、黎巴嫩和伊朗。

《Motherboard》将该黑客提供的材料与卡巴斯基最近的报告的细节进行了对照。发现ZooPark在埃及和伊朗的攻击成功率会更高。目前这名黑客提供的数据显示，这些地区的信息收集已经可以获得受害者的手机型号，以及所使用的Android设备。

这位不愿透露姓名的黑客的爆料信息还指出，该组织的其中一个恶意软件是在库尔德斯坦独立公投中作为伪装成投票应用程序来传播的。值得注意的是，《Motherboard》获得的数据信息中包含的一个被感染设备访问了的伊斯兰国家相关网站，但浏览这些网站的原因尚不清楚。

另外，一些截获的短信还包括Instagram和Telegram账户的验证码。

可怕的拓展应用

卡巴斯基的报告称，ZooPark在过去几年中使用了几种不同的恶意软件。根据该报告，ZooPark的第三个版本是基于Spymaster Pro，这是一个普通消费者都可以进行购买的间谍软件，用它可以监视他们的子女，雇员或配偶。 ZooPark版本的Spymaster Pro允许攻击者记录电话，监控手机的网络浏览，并窃取照片。

卡巴斯基实验室的安全专家Alexey Firsh撰写了ZooPark的报告，称该版本的恶意软件是通过所谓的“水坑攻击”来实现的;也就是说，一旦恶意软件访问某个特定的恶意网站，就会被攻击者盯上。 

ZooPark服务器上留下的一部分黑客信息

2月份，一名黑客攻击了Spymaster Pro并将盗窃数据的提供给了《Motherboard》。在看到Spymaster Pro与卡巴斯基研究后，该黑客决定探测ZooPark的基础设施，黑客通过在线聊天的方式告诉《Motherboard》，攻击者是通过上传恶意文件，获取服务器的管理员凭据，然后在整个系统中发动攻击。

尽管卡巴斯基将ZooPark描述为一项“复杂的网络间谍活动”且ZooPark已经开始使用更复杂的第四版恶意软件，但该黑客认为，其所使用的APT并不是什么高级手段。