【編者按】卡巴斯基實驗室被Duqu 2.0攻陷后許多安全界人士對代碼和0Day進行了深入分析，但目前還有很多不清楚的地方，除了卡巴斯基之外還有別的受害者嗎？使用的是哪種0Day攻擊？攻擊者到底做了什么？在一篇外電中我們看到了一些資料。

以下是譯文：

前幾天，卡巴斯基實驗室被Duqu 2.0攻陷的消息傳出來后，盡管安全廠商對Duqu 2.0的代碼和對攻擊者采用的0Day攻擊進行了深入分析，目前仍有許多未解之謎。

先不說這事兒是誰干的，所有人的研究都僅限于把攻擊來源確定為以色列，除此之外，還有很多方面我們還不知道：

除了卡巴斯基實驗室以外還有別的被黑的安全公司嗎?

Symantec，FireEye，Trend Micro都表示沒有受到Duqu 2.0的攻擊，其它的廠商也沒有報告Duqu的信息。但我們了解到Duqu 2.0是在內存中的病毒，電腦一旦重啟就會消失，入侵者可以輕松消除痕跡，所以，很難說誰沒被黑過。

尤金·卡巴斯基說，我們在這件事上花了好幾個月的時間，當初意識到一些奇怪的東西后，就開始展開調查尋求突破口。

卡巴斯基實驗室首席安全研究員庫爾特鮑姆加特納發布了被入侵的一些指標，并表示受害者肯定遠遠不止卡巴這一家。攻擊的范圍很廣，攻擊的目標很多，可能有100個。就目前所知，Duqu 2.0曾被用于對最復雜、難度等級最高的目標進行攻擊，包括地緣政績利益。

在第一次攻擊卡巴斯基實驗室的時候使用的是哪種0Day攻擊?

卡巴斯基實驗室在Duqu 2.0攻擊中識別出了兩到三種0Day手法，目前正在調查攻擊者利用了哪些漏洞來對最初的受害者下手的，亞太區的一位員工認為是通過魚叉式釣魚攻擊來進行的。

鮑姆加特納(Baumgartner)表示對方利用的可能是CVE-2014-4148，對方可以通過一個Word文檔接觸到內核。但是目前尚沒有確認具體的第一次攻擊是如何實施的。

賽門鐵克也沒有什么進展。“問題是，我們還不知道Duqu 2.0感染的載體到底是什么!”，賽門鐵克安全響應中心高級經理維克拉姆·塔庫爾說。 “我們還在調查這次事件的具體細節。”

攻擊者到底做了什么？

尤金卡巴斯基表示，他們還不確定Duqu 2.0的攻擊者到底訪問了公司的那些信息。“我們還不知道他們究竟想找什么”。

塔庫爾表示Duqu 2.0最厲害的地方在于他侵入和掩埋痕跡的能力。“它沒有在你的電腦上留下任何文件，重啟之后什么都沒了”。“這些攻擊者有目的的這么做，這樣他們還可以隨意偷取他想要的東西，一關機，啥都沒了。”

塔庫爾表示他們的團隊還在分析惡意軟件的模塊，他們也還不知道到底攻擊者是如何秘密盜取數據(exfiltrated)的。

也有安全專家表示，主要還是因為他們不知道到底那些信息被竊取了，所以他們無法準確的找到到底哪些數據和系統被接觸過。

Bay Dynamics的首席營銷官Gautam Aggarwal認為，這些攻擊者的目的是在搜尋卡巴斯基Secure OS和Anti-APT產品的漏洞。Duqu 2.0攻擊是一個內存(in-memory)攻擊，他不會增刪改任何硬盤上的文件或者系統設置，這才讓卡巴斯基的調查舉步維艱。如果他們一旦找到卡巴斯基產品的一些漏洞，入侵使用他們產品和解決方案的客戶就是輕而易舉的事兒了。

卡巴斯基實驗室調查過2011年那次Duqu木馬攻擊，這次攻擊非常有針對性，他說。這讓人感覺APT攻擊小組是把卡巴斯基實驗室作為Duqu 2.0攻擊的一個支點，它可以破壞其內部的防御，然后達到某種目的。

直覺告訴我們，卡巴斯基這事兒只是個開始，陸續我們還會看到更多這樣的事兒。

神秘模塊里的ICS/SCADA線索有什么含義?

卡巴斯基實驗室全球研究和分析團隊總監Costin Raiu發布了一條推特，發圖片截屏了Duqu 2.0模塊的一個文件名，說：“有誰認識Duqu2 模塊訪問的這些文件名和路徑嗎?來說說”

研究人員在研究這些樣本的時候在文件名中發現了“HMI”一詞，指向ICS / SCADA系統的鏈接。HMI(human-machine interface)指的是工業產品領域的人機界面。