首页 | 电脑 | 安全 | 网络安全

卡巴斯基内部调查初步结果,关于美国媒体报道的指控事件解析

2018年09月05日 原文

– 本次内部调查是关于什么的?

– 最近一些美国媒体的报道中牵扯到卡巴斯基安全网络,据称美国国家安全局机密数据在2015年流出。我们决定对所有系统进行复查。

– 你是否发现了关于该事件的任何信息?

– 没有,我们没有发现关于2015年事件的任何信息。不过2014年有一起事件与最近媒体报道的类似。

– 事实上到底发生了什么?

– 我们的产品在Microsoft Office产品密匙生成器中检测到了一个后门软件(2013年以来就为人所知),一个7-Zip档案文件含有用户系统中之前未知的恶意软件样本。检测出来之后,我们的产品将该档案文件发给反病毒研究人员供其分析。结果是该档案文件含有恶意软件源代码,似乎与Equation Group有关。

– 你们的软件是否有意搜寻该种类型的档案文件,比如使用”最高机密”或”保密”等关键词?

– 不是的,没有。恶意档案文件是我们主动防御技术自动检测出来的。

– 你是否将该档案文件和/或所含文件向任何第三方分享?

– 不是的,我们没有。而且在CEO的指示之下我们立即删除了该档案文件。

– 你是否发现了企业网络被威胁的任何证据?

– 除了Duqu 2.0外我们没有发现任何威胁。事件之后我们已经公开报告了Duqu 2.0。

– 你们是否愿意与独立方分享数据?

– 是的,我们已经准备提供所有数据供独立审计。

结果

2017年10月,卡巴斯基实验室对公司的遥测日志中,与媒体报道的所谓2015年事件相关的内容进行了全面审查。 在APT调查期间,我们只发现了一起在2014年发生的事件,当时我们的检测子系统捕捉到疑似Equation恶意软件的源代码文件,随后决定检查是否还有其他类似事件。此外,我们决定调查在这起所谓的2015年事件发生时,除了Duqu 2.0之外,我们的系统中是否还存在其他第三方入侵。

 

我们从2014年开始,对与这起事件相关的内容进行了深入调查,初步调查结果如下:

在Equation APT(高级持续性威胁)调查期间,我们发现全球有40多个国家被感染。

其中部分感染发生在美国。

按照例行程序,卡巴斯基实验室向美国有关政府机构通报了美国地区的主动APT感染情况。

其中美国地区的一种感染软件由Equation集团似乎从未用过的未知调试恶意软件变种构成。

检测到Equation新样本的事件使用的是卡巴斯基家庭用户产品系列,并启用了KSN以及自动提交新恶意软件和未知恶意软件样本的功能。

在执行了这些检测之后,我们发现用户似乎在其电脑上下载并安装了盗版软件,如非法的微软Office激活密钥生成器(又称为”keygen”)(md5:a82c0575f214bdc7c8ef5a06116cd2a4 – 用于检测覆盖,请参阅此VirusTotal链接),结果被恶意软件所感染。

卡巴斯基实验室产品检测出的恶意软件给出的定论是Backdoor.Win32.Mokes.hvl。

为了安装并运行此keygen,用户似乎禁用了其电脑上的卡巴斯基产品。我们的遥测技术不允许我们说反病毒功能已禁用,然而,事实上keygen恶意软件后来被检测到在系统中运行,这表明反病毒功能已禁用或者在运行keygen时没有启用反病毒功能。若是启用了反病毒功能,keygen是不可能执行的。

用户在不确定的时间内感染了此恶意软件,而在此期间产品处于非活动状态。通过keygen木马程序载入的恶意软件是一个完全成熟的后门,可能允许第三方访问用户的电脑。

后来,用户重新启用反病毒软件并正确检测到产品(定论:”Backdoor.Win32.Mokes.hvl”),并阻止此恶意软件进一步运行。

感染Backdoor.Win32.Mokes.hvl恶意软件后,用户多次扫描计算机,结果检测到Equation APT恶意软件的新变种和未知变种。

产品检测到的其中一个文件是Equation APT恶意软件的新变种:7zip存档文件。

该存档本身被检测为恶意文件,因而被提交给卡巴斯基实验室进行分析,我们的一位分析师对其进行了处理。处理后发现,该存档中含有多个恶意软件样本和源代码,似乎都是Equation恶意软件。

发现疑似Equation恶意软件的源代码后,分析师向CEO报告了这一事件。在CEO的要求下,我们删除了系统中所有的存档。该存档没有与任何第三方共享。

2015年,没有从该用户那里收到进一步的检测信息。

根据2015年2月我们发布的Equation通知,其他几位启用了KSN的用户均出现在与原始检测相同的IP范围内。这些IP地址似乎已配置为”蜜罐”,每台计算机都会加载各种Equation相关样本。目前并未在这些”蜜罐”中检测到并提交任何异常(不可执行文件)的样本,因此没有以任何特殊的方式来处理检测信息。

在调查中,未发现2015年、2016年或2017年发生过任何其他相关事件。

卡巴斯基实验室的网络中没有检测到除Duqu 2.0以外的其他任何第三方入侵。

调查证实了卡巴斯基实验室从未依据”最高机密”和”已分类”等关键字,对其产品中的非武器化(非恶意)文件进行任何检测。

我们认为,上述内容是对2014年这起事件的准确分析。调查仍在进行当中,若发现其他技术信息,公司将陆续进行披露。根据全球透明度倡议,我们计划公开有关此事件的全部信息,包括所有技术细节与可信第三方,以供交叉验证。

相关链接