安全圈 | 专注于最新网络信息安全讯息新闻

首页

將軍,暴露的秘密攻擊-卡巴斯基•注册

作者 lervik 时间 2020-02-27
all

美國國家安全局(NSA)的一名工作人員將美國政府的絕密間諜軟體帶回了家,他在自己的電腦上為盜版的微軟Office安裝了一個後門金鑰發生器,將電腦上的機密網絡武器暴露給駭客。

這是根據卡巴斯基實驗室今天發表的一份報告,在它看來,詳細說明了歹徒是如何輕易地從國安局雇員的臥室Windows PC上竊取强大和高度機密的軟件漏洞的。

本月早些時候,據稱俄羅斯情報部門能够蒐索運行莫斯科卡巴斯基(Kaspersky)殺毒工具的電腦,讓這些窺探者能够尋找外國情報人員,並從他們的硬碟上竊取機密。

國安局雇員的家用電腦是運行卡巴斯基殺毒軟體的數千萬臺機器之一。囙此,卡巴斯基被指控通過其工具在個人電腦上檢測美國網絡武器,揭發克里姆林宮間諜,並有效幫助他們入侵這臺機器,以吸取寶貴的漏洞利用。

嗯,不完全是,卡巴斯基說。

據這家俄羅斯安全巨頭稱,這名工作人員暫時關閉了個人電腦上的防病毒保護,並在試圖使用Office的盜版時用產品金鑰生成器的惡意軟件感染了他的個人電腦。

後來,卡巴斯基的軟件一旦重新啟動,就會像往常一樣蒐索這臺機器,删除安裝了木馬的金鑰生成工具,在掃描過程中發現了美國國家安全局的秘密程式碼,並上傳到卡巴斯基的雲端供工作人員進一步研究。卡巴斯基的科技一直在尋找美國國家安全局在野外的秘密監視工具,比如它在2015年披露的硬碟固件間諜軟體,所以毫不奇怪的是,原始程式碼和其他檔案的存檔被檢測出來並被複製用於分析。

用戶可以將卡巴斯基的軟件配寘為不將可疑樣本送回俄羅斯母親進行審查,然而,在這種情況下,國安局的工作人員沒有採取這一選擇,允許高度敏感的檔案外逃。

一旦落入逆向工程師手中,很明顯這是洩露的NSA軟件。該公司首席執行官尤金•卡巴斯基(Eugene Kaspersky)接到通知,數據副本被删除,“該檔案未與任何協力廠商共亯”。

卡巴斯基的論點是,任何人都可能濫用後門的金鑰生成器遠端存取機器,竊取國安局雇員愚蠢地帶回家的秘密,而不是國家間諜濫用其殺毒軟體窺探他人。

卡巴斯基確實與它的大客戶和政府分享了即將到來的網路安全威脅的情報,例如新的間諜軟體和其他軟體問題。然而,在本案中,據稱,美國的工具沒有進一步,爭論是,如果俄國人掌握了洩漏的漏洞,它不是通過卡巴斯基實驗室。

這件事幾乎立刻引起了資訊安全界的不滿。

我可能會夢想告訴大家我删除了它。

以下是卡巴斯基所說的事情的摘要:

時間線

2014年9月11日,卡巴斯基的軟件在國安局工作人員的電腦上檢測到Win32.GrayFish.gen特洛伊木馬。此後一段時間,該員工禁用了防病毒程式,以運行一個啟動金鑰生成器,該生成器旨在解鎖Microsoft Office 2013的盜版。惡意可執行文件與Office 2013的ISO文件一起下載。

正如經常發生的流氓金鑰gens的情况一樣,該軟件附帶了惡意軟件,這就是該員工不得不禁用其AV的原因。快進到10月4日,卡巴斯基的軟件被允許再次運行,假金鑰生成工具捆綁的惡意軟件Win32.Mokes.hvl自2013年以來一直在安全商店的淘氣名單上,被防務軟件盯上了。

卡巴斯基實驗室在報告中說:“要安裝並運行這個keygen,用戶似乎已經禁用了他機器上的卡巴斯基產品。”。

“我們的遙測不允許我們說出何時禁用了防毒軟體,但是,後來在系統中檢測到keygen惡意軟件正在運行,這表明防毒軟體在keygen運行時已禁用或未運行。如果啟用了防毒軟體,則無法執行keygen。”

用戶被警告他的電腦被感染,所以他告訴工具包掃描並移除所有威脅。殺毒軟體及時删除了Mokes惡意軟件,但也發現了幾種新型的NSA程式碼,這些程式碼似乎與卡巴斯基已經熟悉的該機构的Equation Group武器相似,被ping回俄羅斯服務器進行分析。

根據這家安全公司的描述,該公司的一名研究人員發現他們收到了一些高度先進的惡意軟件,並將這一發現報告給卡巴斯基的首席執行官尤金:

卡普塞斯基說,該公司從未收到過來自該用戶的任何惡意軟件樣本,並在2015年2月公佈了其等式組的調查結果。它說,在那次披露之後,它開始在與最初發現相同的IP範圍內發現更多等式組惡意軟件樣本——蜜罐來誘捕可能竊取了網絡武器副本的人。

卡巴斯基實驗室說:“這些似乎被配寘為‘蜜罐’,每臺電腦都裝載著各種與方程式相關的樣本。”從這些“蜜罐”中未檢測到和提交任何不尋常(不可執行)的樣本,也未以任何特殊管道處理檢測。”

至於俄羅斯間諜機构FSB通過卡巴斯基的後臺系統潜入使用該公司殺毒軟體的電腦的說法,該軟件製造商表示,並非如此。調查發現,除了2015年春季的杜曲惡意軟件感染阻礙了其服務器,該公司沒有受到協力廠商的入侵。

這似乎令人驚訝。安全商店炭黑的首席科技官、美國國家安全局(NSA)的精英駭客小組(定制訪問操作小組)前成員邁克爾·維斯庫索(Michael Viscuso)告訴記者,安全供應商是駭客要顛覆的目標名單的首位。妥協的反惡意軟體工具提供了對目標電腦的大量低級訪問,囙此您可以預期卡巴斯基會受到多次攻擊,其中一些是成功的。另一方面,實驗室可能不知道它被滲透了。

美國國會將營救一名拉·基斯頓·科普斯

卡巴斯基的報告在美國眾議院科學、航太和技術委員會舉行聽證會評估卡巴斯基軟件帶來的風險(如果有的話)之前不久在網上發表。

聽證會之前,美國聯邦政府禁止卡巴斯基軟件在其電腦上使用,這一決定導致百思買將該程式碼從貨架上撤下,並向客戶提供免費删除該程式碼的服務。正如你在國會和科技方面所料,聽證會進行得並不順利。

Youtube視頻

監督小組委員會主席達林·拉胡德(Darin LaHood,R-IL)多次將該公司稱為“卡珀斯基實驗室”(Kapersky Lab),展示了我們對當選領導人的深入瞭解和高端安全技能。

目擊者之一,國際戰略研究所未來衝突和網路安全主任肖恩·卡努克(Sean Kanuck)說,有兩個外國勢力侵入了卡巴斯基服務器。據報導,其中一個可能是以色列人,他們入侵了卡巴斯基實驗室,並發現俄羅斯間諜將其產品用作全球電腦搜尋引擎,但另一個沒有透露姓名——可能是美國聯邦安全局,也可能是美國自己的國家安全局。

當被問及其他安全供應商是否同樣面臨駭客攻擊的風險時,卡努克拒絕回答,他說這些聽證會是關於卡巴斯基的,而不是其他供應商。據代表巴裏·勞德梅爾克(R-GA)說,另一個事實是,另一名國安局工作人員把絕密工作帶回家丟了,這是一項刑事重罪,不在委員會的職權範圍之內。

總的來說,這次聽證會有點死氣沉沉。美國總務管理局(General Services Administration)首席信息官大衛•希夫(David Shive)證實卡巴斯基軟件已經從個人電腦上消失,但也補充說,該公司沒有看到任何使用卡巴斯基軟件的證據,只是按照國土安全部告訴他的話行事。

他說,她說口水戰還在繼續。卡巴斯基已經把證據擺在案頭上,美國政府有責任看看是否也會這樣做,以證明從其電腦系統中剝離原本體面的殺毒軟體是合理的。®

贊助:連續生命週期倫敦2020