卡巴斯基揭秘 | NSA黑客工具是如何被泄露的?

资讯 0 6221
极限安全播报
极限安全播报 2017年10月30日

俄罗斯杀毒软件厂商卡巴斯基发布了一份报告,阐述了另一个版本的“卡巴斯基窃取美国政府文件”事件。


美国政府很早就开始调查卡巴斯基与俄罗斯政府之间的关系,一开始的几个月没有任何证据。


今年夏天,华尔街日报和纽约时报的报道发现美国政府怀疑俄罗斯联邦安全局特工使用卡巴斯基作为一种搜索引擎,用来扫描全世界的文件。


这两篇报道讲的是美国政府的机密文件是怎么最终留到俄罗斯政府手里的。



数据收集是自动的


今年夏季卡巴斯基否认与俄罗斯政府存在关联,并且保证会展开调查。


今天发表的初步报告显示,卡巴斯基的确收集了NSA的机密文档,但是这一过程不是故意的。


卡巴斯基称,数据收集的过程是自动化的,因为这些黑客工具使用的数字证书与黑客组织有关,因此卡巴斯基上传了文件以便进行检测。


这次的事件发生于2014年,卡巴斯基在2015年发布了相关报告。如今这个黑客组织已经举世闻名——方程式组织。


CEO下令销毁收集的文件


卡巴斯基没有指出文件到底来源自哪里,卡巴斯基称,这位用户使用的是家庭用户版本,并且开启了“自动上传可疑样本”的选项。


而收集的这份文件是新的来自方程式组织的调试软件。


由于这是一款新的病毒,研究院检查了收集到的数据,并且对其进行了验证和分类。公司称,意识到软件可能来自于NSA后,这位卡巴斯基雇员把文件汇报给了公司CEO Eugene Kaspersky。


不过,Eugene Kaspersky要求删掉文件。公司没有说明原因。


NSA员工也中毒


报告中还提到了一些之前未经证实的理论。


很多专家怀疑卡巴斯基没有窃取文件,只是因为NSA员工偷偷把文件带出了NSA网络,带到了家里。


除此之外,卡巴斯基还表示他们查看了这位NSA员工的电脑数据。这位用户之后自己也遭受到了病毒的感染。


为了激活Office,这位用户下载了一个注册机,而这个注册机中包含一款木马,名称为Win32.Mokes.hvl。


卡巴斯基检测到了NSA蜜罐

用户发现感染后,用卡巴斯基扫描了几次,导致的结果是不仅病毒被上传到卡巴斯基,方程式小组的程序也被上传。


有时,NSA员工会把发生的事件汇报给主管,因此,NSA就把几台电脑设置成蜜罐电脑。

这段报告与华尔街日报的报道一致,但卡巴斯基称,它的产品只收集了恶意样本,而非报道中所说的收集机密文件。


卡巴斯基的报告中附上了所有的技术细节,虽然展示更多证据不一定代表更可信,但起码卡巴斯基展现了一条更加可信的时间线。除此之外,本周卡巴斯基还宣布允许审计机构审查其代码,检查是否含有后门。


END

本文来源于freebuf.com



深圳市极限网络科技有限公司专注于系统底层和网络攻防技术研究,是一家将网络安全与大数据人工智能运用相结合的信息安全运营服务商,成立至今为我国关键信息基础设施、政府部门、大中型企事业单位以及重点行业提供了全方位的网络安全解决方案以及专业的安全服务。


0.png