记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

卡巴斯基公开承认:确实收集到了NSA的机密文件

2017-10-27 01:20

背景介绍

俄罗斯网络安全厂商卡巴斯基实验室于10月25日公布了一份报告,详细说明了关于美国媒体声称的“卡巴斯基为俄罗斯政府偷窃美国政府机密文件”这一事件的来龙去脉。

尽管从事后得知美国当局早就已经悄悄地调查了卡巴斯基与俄罗斯政府的关系,但在今年年初还没有任何官方消息。直到今年秋天,《华尔街日报》和《纽约时报》公开报道了此事,公众才发现美国政府怀疑俄罗斯的FSB特工或卡巴斯基实验室的内部人士使用卡巴斯基反病毒软件作为一种交互式搜索引擎在扫描世界各地的计算机。

美国媒体的报道暗示,美国政府的文件未经许可就被私自转储,一名NSA的雇员的电脑因此遭受俄罗斯政府的控制,从而泄漏了机密数据。

卡巴斯基发布调查报告

在此之前,卡巴斯基一直都否认有任何不当行为,在媒体公开报道之后,卡巴斯基承诺要对所发生的事情展开调查。

今天,卡巴斯基公布了其初步的调查结果,在报告中,Kaspersky承认它确实收集了NSA的机密文件,但这并不是有意的。报告摘录如下:

“2017年10月,卡巴斯基实验室重新对记录数据进行了彻底的审查,日志显示媒体描述的事件与一起2015发生的事件有关。公司内部记录了在2014年的一次APT调查中,卡巴斯基的检测子系统捕捉到了一些似乎是黑客组织“方程式”的恶意代码源代码文件,当时公司决定检查是否有类似事件发生。此外,当时还决定调查是否有除了Duqu2 之外的任何第三方入侵了我们的系统,这与媒体所称的2015年的事情有关。“

对2014年的案件进行了深入调查,初步调查结果显示如下:


*注释:下文中的受感染用户特指美国媒体报道的NSA雇员,受害主机,特指该NSA雇员的电脑。


  • 在针对可能是“方程式”组织的APT(高级持续性威胁)攻击活动进行调查的过程中,发现感染目标覆盖了世界各地的40多个国家;
  • 其中一些感染发生在美国;
  • 作为一个例行程序,卡巴斯基实验室将检测到的“美国地区存在APT活动”的情况通知了美国政府的有关机构;
  • “方程式”组织对美国的某些感染目标使用了一种新型的、未知的和调试中的恶意软件变种;
  • 这一事件中,在对“方程式”组织的新样品进行检测时,涉及到了使用卡巴斯基产品的家庭用户,启动了KSN的系统会开启自动提交未知的恶意软件样品的功能;
  • 这一事件中,第一次检测到“方程式”的恶意软件样品发生在2014年9月11日,检测到样品信息如下:
    • 44006165aabf2c39063a419bc73d790d
    • mpdkg32.dll

标识:Heur-PC:trojan.win32.grayfish.gen

  • 根据检测到的信息,发现受感染用户下载并安装了一个盗版软件在自己的机器上,感染源是一个非法的微软Office激活密钥生成器(也就是“注册机”,其MD5值为a82c0575f214bdc7c8ef5a06116cd2a4, 对应的VirusTotal链接)。卡巴斯基实验室的产品将其标识为mokes.hvl;
  • 检测到恶意软件内部包含一个名为“Office-2013-PPVL-x64-en-US-Oct2013.iso”的文件夹,这表明一个ISO映像作为一个虚拟的驱动器/文件夹被系统加载;
  • 卡巴斯基实验室产品从2013年起就检测到了Win32.Mokes.hvl(虚假的注册机);
  • 2014年10月4日第一次在机器上检测到这个恶意的(虚假的)注册机;
  • 安装并运行这一“注册机”软件,用户的机器似乎需要禁用卡巴斯基产品。因为我们已经收集到了遥测数据,所以说杀毒软件被禁用的说法站不住脚,然而,事实上,这块恶意的“注册机”会对系统进行检测,确认杀毒软件已被禁用或者不运行时,才会运行自身,因此,运行“注册机”软件时杀毒功能是关闭的;
  • 在杀毒软件无效的情况下,用户在某个不特定的事件被感染,伪装成注册机的木马程序下发一个相当成熟的后门程序,它可能会允许第三方访问受感染的主机;
  • 在这之后,如果用户重新启用杀毒软件,卡巴斯基的产品会正确检测到该恶意程序(识别为:“Mokes.hvl”),并阻止该恶意软件继续运行;
  • 受害主机感染了Mokes.hvl恶意软件后,用户曾多次扫描计算机,检测结果显示机器上存在新的、未知的恶意软件的变种(来自“方程式”的APT攻击活动);
  • 这台机器的最后一次做安全检测是在2014年 11月17日;
  • 卡巴斯基的产品检测到文件中,有一个是名为7zip的存档文件,它被识别为“方程式”APT恶意软件的新变种;
  • 7zip文档本身被检测为恶意程序,被提交给卡巴斯基实验室进行分析,实验室的一名分析师对其进行处理。在处理过程中发现该文件包含多个恶意软件样本和源代码,它们似乎是“方程式”组织的恶意软件;
  • 分析师怀疑发现了“方程式”组织的恶意软件源代码后,向首席执行官报告了这一事件。根据CEO的请求,这些存档文件从我们所有的系统中被删除了,且没有与任何第三方共享;
  • 2015年,没有收到该用户进一步的检测信息;
  • 2015年2月份,我们公布了关于“方程式”组织的公告,之后,KSN检测到同一个IP地址范围内有几个其他用户启用卡巴斯基产品的检测,而这些机器似乎是一些专门配置的“蜜罐”,每台电脑都安装了一些“方程式”组织的样本。这些不能执行的样本被检测到并从这些“蜜罐”上传上来,对它们的检测过程准照常规,没有进行任何特殊处理;
  • 2015、2016和2017年期间,没有发现任何其他相关事件;
  • 卡巴斯基实验室网络只检测到了Duqu2,除此之外没有没有其他的第三方入侵被检测到;
  • 调查证实,卡巴斯基实验室的产品从来没有基于诸如“绝密”(“top secret”)、“保密”(“classified”)之类的关键词,检测任何非恶意的文档;

我们相信以上是对2014事件的准确分析。调查仍在进行中,卡巴斯基公司将提供更多的技术信息,只要它是有用的。我们计划分享有关这一事件的全部信息,包括所有可信的第三方的技术细节,作为我们“全球透明度计划”(Global Transparency Initiative for cross-verification)的一部分。

事件点评

令人惊讶的是,卡巴斯基的首席执行官Eugene Kaspersky命令删除了一些关键的文件。在发布的调查报告中并没有阐述这么做的理由,不过卡巴斯基指出并没有与任何第三方共享这些资料。

大多数专家怀疑卡巴斯基杀毒软件只不过是在一个粗心的NSA雇员的电脑上检查到了一些可疑的文件,至于这名雇员从NSA的网络中拷贝这些黑客工具并把它们带回家里的原因,尚不明确。

但这份由卡巴斯基发布的调查报告,无疑使事件变得更加复杂了,报告内容显示,这名泄密的NSA雇员的电脑似乎也感染了另一个后门程序。

另外,卡巴斯基产品从同一IP段检测到的“蜜罐”电脑的描述,也证实了WSJ报道中提到的美国政府设立可控测试并部署了测试计算机的事情。卡巴斯基表示其产品只被用于自动收集恶意程序,并没有WSJ和NYT所称的会基于“机密”和“保密”等关键词的搜索,而WSJ和NYT称这一消息来源是匿名的。。

现在,似乎轮到美国政府来出牌了。

卡巴斯基今天发布的调查报告提供了原始报告中所缺少的技术细节,描绘了一个更可信的故事情节,导致美国官员禁止卡巴斯基在美国政府的计算机。

接下来,希望美国政府也这样做,并发布类似的技术报告。至今为止,媒体发布的所有关于卡巴斯基的报道都是匿名来源,美国官方还未发布任何公告或报告。

当然,并不能仅凭卡巴斯基提供了更多的细节,就认定它一定是无辜的,因为还有一些其他细节也需要加以澄清,例如,它向美国政府销售自身的产品时宣称,可以利用它的AV产品帮助抓获恐怖分子嫌疑人。

本周,Kaspersky宣布了一项新的全球透明度计划,允许批准的审计人员来检查其产品的源代码,寻找任何隐藏的后门或可疑行为。

知识来源: www.mottoin.com/106646.html

阅读:97682 | 评论:0 | 标签:观点 NSA黑客工具 卡巴斯基 数据泄漏

想收藏或者和大家分享这篇好文章→复制链接地址

“卡巴斯基公开承认:确实收集到了NSA的机密文件”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云