卡巴斯基實驗室近日公開承認其公司網(wǎng)絡遭APT攻擊，而且被入侵長達數(shù)月未發(fā)現(xiàn)，經(jīng)卡巴斯基實驗室研究人員進一步的研究發(fā)現(xiàn)，入侵卡巴斯基和入侵伊朗核問題“六方”會談(P5+1)承辦酒店電腦的都是超級計算機病毒Duqu 2.0，而且其所使用的合法數(shù)字證書竟然盜自富士康公司。

百科：關于伊朗核問題六方會談、富士康科技

由美國、俄羅斯、中國、英國、法國和德國參加的“P5+1”(伊朗核問題六方會談)會談，一直斷斷續(xù)續(xù)進行。自去年以來，“P5+1”會談分別在日內(nèi)瓦、洛桑、慕尼黑和維也納等地舉行。

富士康科技是臺灣鴻海精密集團在大陸投資興辦的高新科技企業(yè)，其客戶包括蘋果、黑莓、谷歌、華為以及微軟等多家全球最大的電子制造商。

　　Duqu病毒家族簡介

攻擊卡巴斯基的病毒是Duqu2.0，疑似和2011年發(fā)現(xiàn)的Duqu病毒同屬一個開發(fā)者。Duqu最早出現(xiàn)在2011年9月，是繼Stuxnet蠕蟲后最為惡性的一種可竊取信息的蠕蟲。可以說是Stuxnet之子，所以危害程度就不言而喻了。

Stuxnet可能是美國黑客和以色列黑客共同開發(fā)的，而Duqu1.0和Duqu2.0可能是以色列獨立自主開發(fā)的。而這三種病毒使用的數(shù)字證書均來自臺灣。Stuxnet使用2種數(shù)字證書：一個來自瑞昱半導體公司，一個來自智微科技;Duqu1.0的數(shù)字證書來自于驊訊電子;Duqu2.0的數(shù)字證書來自于富士康。

為什么要竊取數(shù)字證書?

數(shù)字證書是互聯(lián)網(wǎng)通訊中標志通訊各方身份信息的一串數(shù)字，提供了一種在Internet上驗證通信實體身份的方式，也是電子商務和大規(guī)模網(wǎng)上自動化交易的基礎。它會在瀏覽器和電腦操作系統(tǒng)上標記哪些軟件是可信的，所以，如果攻擊者想在目標電腦上安裝惡意軟件而不被發(fā)現(xiàn)的話，就需要得到合法數(shù)字證書的簽名。

近年來盜竊數(shù)字證書的案例愈發(fā)頻繁，網(wǎng)絡間諜們會利用盜來的數(shù)字證書將惡意軟件偽裝成來自合法電腦的安全軟件，然后實施間諜活動。

卡巴斯基系統(tǒng)遭病毒攻擊時使用的是富士康的證書，而就在幾天前又有人在VirusTotal上上傳了一個驅(qū)動文件，而這個驅(qū)動文件使用的數(shù)字證書也是富士康的證書，也就是說Duqu2.0又找到了一個新的目標。

卡巴斯基在周一的總結報告中稱，“Duqu攻擊者是唯一訪問這些證書的人，這進一步印證，他們侵入硬件制造商的目的是為了獲取這些數(shù)字證書。”關于失竊數(shù)字證書事宜，目前卡巴斯基已通知了富士康，但富士康尚未發(fā)表任何評論。

為什么攻擊者入侵卡巴斯基實驗室非要使用來自富士康的數(shù)字證書呢?原因很簡單，因為卡巴斯基所使用的服務器是64位windows服務器，而在服務器上進行惡意操作必須得有效數(shù)字證書簽名的驅(qū)動，而富士康數(shù)字證書在業(yè)內(nèi)很是出名，所以就莫名的躺槍了……

取勝之鑰：入侵驅(qū)動

驅(qū)動是成功入侵卡巴斯基的關鍵。因為Duqu2.0工具大多存儲在卡巴斯基系統(tǒng)的內(nèi)存里，一旦受害者的系統(tǒng)重新啟動了，那惡意軟件就會隨之消失，磁盤上也不會留下任何的文件。為了解決這一問題，攻擊者就需要將驅(qū)動放到同一網(wǎng)絡下其他的機器上，這樣如果一臺機器重啟了，驅(qū)動就會在另一臺未被感染的機器上重新啟動。

有了0day還有必要使用數(shù)字證書嗎?

估計所有的人都會發(fā)出同樣的疑問，Duqu2.0明明就擁有了3個windows 0day漏洞，無需數(shù)字證書照樣可以成功入侵系統(tǒng)，干嘛還多此一舉去盜竊別人的證書呢?研究人員猜想可能是做的第二手準備(Plan B)，如果受害者系統(tǒng)上的0day漏洞被修復了，那就可以用第二種方案入侵。戲劇性的是，就是Plan B暴露了他們的行蹤。