在过去的两年中，一个疑似来自黎巴嫩的网络间谍小组黑掉了数百个国防供应商、电信运营商、传媒以及教育组织，受害者达到十来个国家。

　　Check Point软件技术公司的研究人员发现了这一系列仍在持续的攻击。他们将攻击行动称为不稳定雪松（黎巴嫩以雪松之国著称，译者注）的最初迹象可以追溯到2012年，但一直仔细地调整他们的入侵工具以避免被杀毒软件检出，因此直到今天才被发现。

　　不像大多数网络间谍组织，不稳定雪松不使用鱼叉式网络钓鱼或强迫下载漏洞，他们的目标是网络服务器，并将服务器作为攻击的支点。

　　Check Point周二发布的详细报告称，攻击者使用自动漏洞扫描器和一些手动方式来寻找并入侵网站和网页应用中的漏洞。这些漏洞之后被用于对目标Web服务器安装后门程序，也就是Web壳（Web shells）。

　　如果被入侵的服务器运行微软的IIS Web服务器软件，攻击者就使用自身权限来安装一个定制的Windows木马程序：炸药（Explosive）。该程序有键盘记录和其它信息窃取能力，也是该黑客组织的主要恶意工具。他们通过炸药来从被感染的服务器提取信息，包括管理员键入的密码。

　　该木马程序也被用来感染目标域中的其它服务器。其最新版本包含了感染U盘扩散的能力。

　　在受害服务器中发现了一些定制端口扫描器和其它工具的残留，研究人员据此相信攻击者是使用最初感染的服务器作为支点，入侵整个网络的。

　　研究人员已经确认，炸药木马的三个主要版本在过去两年时间里被反复使用。通常情况下，如果攻击者发现老版本已经被反病毒程序检测到，就会发布新的版本。在大多数情况下，这样的检测事件是意外发生的，通常是由于杀毒软件积极的启发式扫描，而不是手动检测。

　　有充分的证据表明，不稳定雪松竭尽全力让自己的恶意入侵行为隐藏起来。他们会定期确认反病毒检测结果，并相应地更新受害服务器上的木马版本。

　　他们用到的恶意程序会监控自身的内存消耗情况，以确认其不会达到某个引起怀疑的特定阈值；而且，它在不对外界发起通信的时段内会进入“无线电静默状态”。这些时段在每个入侵案例中都不同，是在配置文件中预置好的。