卡巴斯基内部调查初步结果 – 关于美国媒体报道的指控事件

[摘要]2017年10月,卡巴斯基实验室对公司的遥测日志中,与媒体报道的所谓2015年事件相关的内容进行了全面审查。 在APT调查期间,我们只发现了一起在2014年发生的事件,当时我们的检测子系统捕捉到疑似Equation恶意软件的源代码文件,随后决定检查是否还有其他类似事件。此外,我们决定调查在这起所谓的2015年事件发生时,除了Duqu 2 0之外,我们的系统中是否还存在其他第三方入侵。

FAQ

 你是否发现了关于该事件的任何信息?
– 没有,我们没有发现关于2015年事件的任何信息。不过2014年有一起事件与最近媒体报道的类似。

 你们的软件是否有意搜寻该种类型的档案文件,比如使用”最高机密”或”保密”等关键词?
– 不是的,没有。恶意档案文件是我们主动防御技术自动检测出来的。

 你是否发现了企业网络被威胁的任何证据?
– 除了Duqu 2.0外我们没有发现任何威胁。事件之后我们已经公开报告了Duqu 2.0。

–<span -converted-space"=""> 你们是否愿意与独立方分享数据?
– 是的,我们已经准备提供所有数据供独立审计。

结果

2017年10月,卡巴斯基实验室对公司的遥测日志中,与媒体报道的所谓2015年事件相关的内容进行了全面审查。 在APT调查期间,我们只发现了一起在2014年发生的事件,当时我们的检测子系统捕捉到疑似Equation恶意软件的源代码文件,随后决定检查是否还有其他类似事件。此外,我们决定调查在这起所谓的2015年事件发生时,除了Duqu 2.0之外,我们的系统中是否还存在其他第三方入侵。

我们从2014年开始,对与这起事件相关的内容进行了深入调查,初步调查结果如下:

·  在Equation APT(高级持续性威胁)调查期间,我们发现全球有40多个国家被感染。

·  其中部分感染发生在美国。

·  按照例行程序,卡巴斯基实验室向美国有关政府机构通报了美国地区的主动APT感染情况。

·  其中美国地区的一种感染软件由Equation集团似乎从未用过的未知调试恶意软件变种构成。

·  检测到Equation新样本的事件使用的是卡巴斯基家庭用户产品系列,并启用了KSN以及自动提交新恶意软件和未知恶意软件样本的功能。

·  在执行了这些检测之后,我们发现用户似乎在其电脑上下载并安装了盗版软件,如非法的微软Office激活密钥生成器(又称为”keygen”)(md5:a82c0575f214bdc7c8ef5a06116cd2a4 – 用于检测覆盖,请参阅此VirusTotal链接),结果被恶意软件所感染。

·  卡巴斯基实验室产品检测出的恶意软件给出的定论是Backdoor.Win32.Mokes.hvl。

·  为了安装并运行此keygen,用户似乎禁用了其电脑上的卡巴斯基产品。我们的遥测技术不允许我们说反病毒功能已禁用,然而,事实上keygen恶意软件后来被检测到在系统中运行,这表明反病毒功能已禁用或者在运行keygen时没有启用反病毒功能。若是启用了反病毒功能,keygen是不可能执行的。

·  用户在不确定的时间内感染了此恶意软件,而在此期间产品处于非活动状态。通过keygen木马程序载入的恶意软件是一个完全成熟的后门,可能允许第三方访问用户的电脑。

·  后来,用户重新启用反病毒软件并正确检测到产品(定论:”Backdoor.Win32.Mokes.hvl”),并阻止此恶意软件进一步运行。

·  感染Backdoor.Win32.Mokes.hvl恶意软件后,用户多次扫描计算机,结果检测到Equation APT恶意软件的新变种和未知变种。

·  产品检测到的其中一个文件是Equation APT恶意软件的新变种:7zip存档文件。

·  该存档本身被检测为恶意文件,因而被提交给卡巴斯基实验室进行分析,我们的一位分析师对其进行了处理。处理后发现,该存档中含有多个恶意软件样本和源代码,似乎都是Equation恶意软件。

·  发现疑似Equation恶意软件的源代码后,分析师向CEO报告了这一事件。在CEO的要求下,我们删除了系统中所有的存档。该存档没有与任何第三方共享。

·  2015年,没有从该用户那里收到进一步的检测信息。

·  根据2015年2月我们发布的Equation通知,其他几位启用了KSN的用户均出现在与原始检测相同的IP范围内。这些IP地址似乎已配置为”蜜罐”,每台计算机都会加载各种Equation相关样本。目前并未在这些”蜜罐”中检测到并提交任何异常(不可执行文件)的样本,因此没有以任何特殊的方式来处理检测信息。

·  在调查中,未发现2015年、2016年或2017年发生过任何其他相关事件。

·  卡巴斯基实验室的网络中没有检测到除Duqu 2.0以外的其他任何第三方入侵。

·  调查证实了卡巴斯基实验室从未依据”最高机密”和”已分类”等关键字,对其产品中的非武器化(非恶意)文件进行任何检测。

我们认为,上述内容是对2014年这起事件的准确分析。调查仍在进行当中,若发现其他技术信息,公司将陆续进行披露。根据全球透明度倡议,我们计划公开有关此事件的全部信息,包括所有技术细节与可信第三方,以供交叉验证。




免责声明:

本站系本网编辑转载,会尽可能注明出处,但不排除无法注明来源的情况,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本网联系, 来信: liujun@soft6.com 我们将在收到邮件后第一时间删除内容!

[声明]本站文章版权归原作者所有,内容为作者个人观点,不代表本网站的观点和对其真实性负责,本站拥有对此声明的最终解释权。