Top
首页 > 网络和信息安全 > 安全情报站 > 正文

对美国媒体报道的所谓事件的内部调查初步结果

2017年10月,针对媒体报道的所谓2015事件,卡巴斯基实验室对我们的遥测日志启动了全面审查。我们仅发现在2014年进行一项APT调查时发生了一起事件,当时我们的检测子系统发现了一种似乎是Equation恶意软件的源代码文件,并决定检查是否有类似的事件发生。
发布时间:2017-11-08 10:52        来源:赛迪网        作者:

【赛迪网讯】2017年10月,针对媒体报道的所谓2015事件,卡巴斯基实验室对我们的遥测日志启动了全面审查。我们仅发现在2014年进行一项APT调查时发生了一起事件,当时我们的检测子系统发现了一种似乎是Equation恶意软件的源代码文件,并决定检查是否有类似的事件发生。此外,我们决定除了对所谓的2015事件中期间发生的Duqu 2.0进行调查外,还将调查我们的系统是否被第三方入侵。

我们已经对2014年发生的事件进行了深度调查,初步调查结果如下:

·在对Equation APT(高级可持续性威胁)进行调查中,我们发现来自全球各地的感染,超过40个国家。

·在美国发现一些这样的感染。·作为例行程序,卡巴斯基实验室已经向美国相关政府机构通报了美国有关APT感染的情况。

·发生在美国的一起感染包含一种似乎是Equation攻击组织使用的全新的未知的恶意软件调试变种。

·新的Equation样本是使用我们的家庭产品检测到的,这款产品启用了卡巴斯基安全网络,并且会在发现最新和未知的恶意软件时,自动提交样本。

·根据这些检测,用户似乎在自己的计算机上下载和安装了盗版软件,例如非法的Microsoft Office激活密匙生成器(即“keygen”)(MD5: a82c0575f214bdc7c8ef5a06116cd2a4——对于多种安全产品的检测结果,参见VirusTtotal链接),结果显示这种软件已经被恶意软件感染。卡巴斯基实验室将这种恶意软件检测为:Backdoor.Win32.Mokes.hvl.

·要安装和运行这种密匙生成器,用户似乎需要关闭自己计算机上的卡巴斯基产品。我们的遥测数据无法判断当时反病毒软件是否被关闭。但是,密匙生成器恶意软件之后被检测到在系统上运行,这一事实表明反病毒软件被关闭,否则在反病毒软件开启的情况下,这种恶意软件无法运行。

·用户被这种恶意软件感染的时间不明,期间用户安装的安全产品处于非活动状态。包含木马的密匙生成器释放的恶意软件为一种完整版后门程序,可能允许第三方访问用户计算机。

·之后,用户重新启动反病毒软件,安全产品能够正常检测和拦截这种恶意软件进一步运行(检测结果·为:“Backdoor.Win32.Mokes.hvl”)。

·被Backdoor.Win32.Mokes.hv恶意软件感染后,用户多次扫描计算机,发现检测到一种新的未知的Equation APT恶意软件变种。

·安全产品检测到的一个文件为Equation APT恶意软件最新变种,是一个7zip压缩文档。·该压缩文档本身被检测为恶意的,并被提交到卡巴斯基实验室,由分析人员进行分析。经过处理发现,这个压缩文档包含多个恶意软件样本和源代码,其源代码似乎是Equation恶意软件的。

·发现疑似Equation恶意软件的源代码后,分析人员将这一事件上报给CEO。根据CEO的要求,我们从所有系统中删除了这种压缩文档。我们没有将这种压缩文档分享给任何第三方。

·2015年后,没有在这名用户的系统上进一步检测到恶意软件。

·自从2015年2月我们宣布Equation事件后,又发现了几个其他启用KSN的用户出现在与最初检测相同的IP范围内。这些用户似乎被配置成为“蜜罐”,每台计算机上都加载了多种与Equation相关的样本。从这些“蜜罐”中,没有检测和提交任何不同寻常(不可执行的)的样本,也没有采取任何特殊的方式进行检测。

·根据调查,没有发现在2015年、2016年和2017年出现任何相关的事件。·除Duqu 2.0外,没有在卡巴斯基实验室网络中检测到任何第三方入侵。

·调查证实,卡巴斯基实验室从未根据“顶级机密”和“保密”作为关键词在其产品中进行过检测。

我们认为上述是对2014年这一事件的准确分析。调查仍在进行之中,公司将及时提供其他技术信息。 我们计划与可信任的第三方分享有关此事件的全部信息,包括所有技术细节,作为我们的全球透明计划的一部分进行交叉验证。

专题访谈

合作站点
stat