对于卡巴斯基实验室来说,站出来承认自己也沦为了黑客活动的受害者肯定是需要很大勇气的。正如该公司创始人尤金·卡巴斯基表示此次“复杂且经过精心策划的攻击侵袭了我们的网络,这很可能是一次由政府下属组织筹划的愚蠢的行动”。
有鉴于此,我们似乎应该把微软公司于昨天发布的权限补丁MS15-61的标签从“重要”修改为“高危”,因为它正属于Duqu 2.0攻击者所利用的零日漏洞。卡巴斯基实验室将问题报告给了微软方面,并决定在利用该补丁解决漏洞之前向公众解释恶意人士是如何利用它完成此次攻击活动的。
对于卡巴斯基来说,站出来承认自己也沦为了黑客活动的受害者肯定是需要很大勇气的,不过我们需要以开诚布公地方式分享这些与Duqu、Flame乃至Gauss等攻击活动相关的信息,因为Duqu攻击者实际来自Stuxnet。而正是同一拨攻击者这次又利用Duqu 2.0攻陷了卡巴斯基公司。
尤金·卡巴斯基指出,此次“复杂且经过精心策划的攻击侵袭了我们的网络,这很可能是一次由政府下属组织筹划的愚蠢的行动”。他同时写道:
被用于实施此次攻击的恶意软件极具创新性与先进性。举例来说,它会驻留在内存——也就是计算机的临时性记忆体当中,同时尽可能避免对磁盘驱动器中的数据作出修改。它所采取的“驻留机制”(更准确地讲,应该称为‘不在场机制’)非常巧妙。很明显这套攻击方案是由一部分技术人员认真设计出来,再由这些聪明而又邪恶的头脑耗费大量时间与精力开发而成,这意味着整个产生周期需要投入数百万美元巨资。攻击者们很可能认为,Duqu 2.0恶意软件根本无法被检测出来。虽然我一直都为卡巴斯基内部人员的技术水平及技术成果而自豪,但此次消息的出现无疑进一步增强了这种自信心。当前的事态证明了一点:攻击我们只会导致一种结果:恶意人士会被抓个现形——无论你们有多么聪明。除此之外,我们的初步调查也显示,对方并没能窃取到多少成果数据。
虽然此次攻击者的目标是设法访问到与卡巴斯基实验室“研发及新技术”相关的数据——这意味着此次攻击很可能属于间谍活动——但公司运营并未受到破坏,而且Duqu 2.0攻击并没有威胁到卡巴斯基公司的客户与合作伙伴,卡巴斯基指出。
不过这些恶意间谍也摸清了卡巴斯基公司所采取的调查检测方法与分析能力。“由于我们在对抗高复杂度安全威胁方面一直负有盛名,他们希望掌握这些信息来保证自己躲在搜索范围之外。但这根本不可能,”卡巴斯基在卡巴斯基实验室的官方博客当中写道。而且如果侦测反应能力才是这帮攻击者的真正意图,那么“访问亦需要在许可协议之下进行(至少其中一部分是如此)!”
此次攻击的发生时间恰好是在卡巴斯基实验室在其安全分析师峰会上公布对“Equation Group”黑客组织进行广泛研究得出的结论之后。虽然卡巴斯基方面已经不再将矛头指向美国国家安全局,但证据显示的结论却确凿无误。这一次的攻击活动显然属于立足于Stuxnet进行的由国家支持的恶意软件使用情况。
这款恶意软件确实相当可怕,不过卡巴斯基实验室在博文中提醒攻击者称,“住在玻璃房子里的人最好不要乱扔石头。”
从政府角度对IT安全企业进行攻击简直无耻至极。我们应当与国家及作为其代表的政府站在同一阵线之上,共同实现网络世界的安全与保护目标。我们彼此共享知识以对抗网络犯罪活动,并通过协调提高安全问题的调查效率。我们携手共进才能将网络世界打造成更美好的精神居所。但现在我们发现“社区”中的一些成员存在着有违法律、职业道德或者说常识的举动。
对我个人来说,这是一个明确的信号,意味着我们需要通过全球所公认的游戏规则来遏制数字化间谍活动并预防网络战争的发生。如果各种阴暗的团体——通常都与政府方面有着千丝万缕的联系——把互联网当成是如同当初缺乏监管的狂野西部一样的肆虐环境,那么这种缺乏秩序的横行无忌将把信息技术的全球可持续发展趋势引入严重的危机当中。所以我再次呼吁所有对此负有责任的国家团结在一起,共同制定并遵循规则,同时打击网络犯罪与恶意软件——而非为其造势甚至推波助澜。
“在攻击卡巴斯基实验室的过程中,Duqu攻击者们很可能自以为这场侵袭不会被发现,但他们失败了,”Duqu 2.0技术论文作出了这样的总结。“对于一家安全厂商来说,最困难的任务之一就是承认自身已经沦为了恶意软件攻击的牺牲品。但在卡巴斯基实验室,我们坚信信息透明化的重要性,这也是我们将信息公诸于众的原因所在。”
作为安全专业厂商,卡巴斯基建议大家“检查网络当中是否存在Duqu 2.0隐患”,并列举了几项指标作为判断标准。此外,大家也可以阅读开放IOC文件来进行自查。目前介绍Duqu 2.0的文章很多,但我个人强烈建议大家点击此处查看这篇技术论文。除了卡巴斯基之外,遭遇Duqu 2.0侵袭的受害者还包括一家匈牙利安全证书颁发机构、工业控制系统领域的几家企业以及同伊朗核问题相关的工业计算机与P5+1会议各方。
除此之外,赛门铁克公司报告称Duqu 2.0攻击者的指向目标还有很多,其中包括“一家欧洲电信运营商、一家北非电信运营商以及一家东南亚电子设备制造商。感染状况也出现在了美国、英国、瑞典、印度以及香港等地。”
“Duqu 2.0是一款功能齐备的信息窃取工具,其设计目的在于对攻击目标的网络进行长期而潜伏极深地窃听,”赛门铁克方面指出。“其创造者很可能将其作为用于收集情报的主要工具之一。”
是的,所以微软公司才将其新近发布的补丁标记为“重要”……而大家最好是马上进行安装,并以更为严肃的态度加以重视。当然,微软仅仅将其标记为“重要”倒也在意料之中,毕竟该公司于今年三月已经成功针对Stuxnet发布了修复补丁。事实上,微软早在2010年就曾经针对Stuxnet发布过补丁,不过根据惠普零日漏洞报告所指出,“该补丁并没能真正解决问题。而且在接下来的四年多当中,全部Windows系统仍在遭受同样由Stuxnet所部署的攻击侵袭。”