卡巴斯基內部調查初步結果 – 關于美國媒體報道的指控事件

卡巴斯基內部調查初步結果 – 關于美國媒體報道的指控事件-E安全

FAQ

– 本次內部調查是關于什么的?

– 最近一些美國媒體的報道中牽扯到卡巴斯基安全網絡，據稱美國國家安全局機密數據在2015年流出。我們決定對所有系統進行復查。

– 你是否發現了關于該事件的任何信息?

– 沒有，我們沒有發現關于2015年事件的任何信息。不過2014年有一起事件與最近媒體報道的類似。

– 事實上到底發生了什么?

– 我們的產品在Microsoft Office產品密匙生成器中檢測到了一個后門軟件(2013年以來就為人所知)，一個7-Zip檔案文件含有用戶系統中之前未知的惡意軟件樣本。檢測出來之后，我們的產品將該檔案文件發給反病毒研究人員供其分析。結果是該檔案文件含有惡意軟件源代碼，似乎與Equation Group有關。

– 你們的軟件是否有意搜尋該種類型的檔案文件，比如使用”最高機密”或”保密”等關鍵詞?

– 不是的，沒有。惡意檔案文件是我們主動防御技術自動檢測出來的。

– 你是否將該檔案文件和/或所含文件向任何第三方分享?

– 不是的，我們沒有。而且在CEO的指示之下我們立即刪除了該檔案文件。

– 你是否發現了企業網絡被威脅的任何證據?

– 除了Duqu 2.0外我們沒有發現任何威脅。事件之后我們已經公開報告了Duqu 2.0。

– 你們是否愿意與獨立方分享數據?

– 是的，我們已經準備提供所有數據供獨立審計。

結果

2017年10月，卡巴斯基實驗室對公司的遙測日志中，與媒體報道的所謂2015年事件相關的內容進行了全面審查。 在APT調查期間，我們只發現了一起在2014年發生的事件，當時我們的檢測子系統捕捉到疑似Equation惡意軟件的源代碼文件，隨后決定檢查是否還有其他類似事件。此外，我們決定調查在這起所謂的2015年事件發生時，除了Duqu 2.0之外，我們的系統中是否還存在其他第三方入侵。

卡巴斯基內部調查初步結果 – 關于美國媒體報道的指控事件-E安全

我們從2014年開始，對與這起事件相關的內容進行了深入調查，初步調查結果如下：

在Equation APT(高級持續性威脅)調查期間，我們發現全球有40多個國家被感染。

其中部分感染發生在美國。

按照例行程序，卡巴斯基實驗室向美國有關政府機構通報了美國地區的主動APT感染情況。

其中美國地區的一種感染軟件由Equation集團似乎從未用過的未知調試惡意軟件變種構成。

檢測到Equation新樣本的事件使用的是卡巴斯基家庭用戶產品系列，并啟用了KSN以及自動提交新惡意軟件和未知惡意軟件樣本的功能。

在執行了這些檢測之后，我們發現用戶似乎在其電腦上下載并安裝了盜版軟件，如非法的微軟Office激活密鑰生成器(又稱為”keygen”)(md5：a82c0575f214bdc7c8ef5a06116cd2a4 – 用于檢測覆蓋，請參閱此VirusTotal鏈接)，結果被惡意軟件所感染。

卡巴斯基實驗室產品檢測出的惡意軟件給出的定論是Backdoor.Win32.Mokes.hvl。

為了安裝并運行此keygen，用戶似乎禁用了其電腦上的卡巴斯基產品。我們的遙測技術不允許我們說反病毒功能已禁用，然而，事實上keygen惡意軟件后來被檢測到在系統中運行，這表明反病毒功能已禁用或者在運行keygen時沒有啟用反病毒功能。若是啟用了反病毒功能，keygen是不可能執行的。

用戶在不確定的時間內感染了此惡意軟件，而在此期間產品處于非活動狀態。通過keygen木馬程序載入的惡意軟件是一個完全成熟的后門，可能允許第三方訪問用戶的電腦。

后來，用戶重新啟用反病毒軟件并正確檢測到產品(定論：”Backdoor.Win32.Mokes.hvl”)，并阻止此惡意軟件進一步運行。

感染Backdoor.Win32.Mokes.hvl惡意軟件后，用戶多次掃描計算機，結果檢測到Equation APT惡意軟件的新變種和未知變種。

產品檢測到的其中一個文件是Equation APT惡意軟件的新變種：7zip存檔文件。

該存檔本身被檢測為惡意文件，因而被提交給卡巴斯基實驗室進行分析，我們的一位分析師對其進行了處理。處理后發現，該存檔中含有多個惡意軟件樣本和源代碼，似乎都是Equation惡意軟件。

發現疑似Equation惡意軟件的源代碼后，分析師向CEO報告了這一事件。在CEO的要求下，我們刪除了系統中所有的存檔。該存檔沒有與任何第三方共享。

2015年，沒有從該用戶那里收到進一步的檢測信息。

根據2015年2月我們發布的Equation通知，其他幾位啟用了KSN的用戶均出現在與原始檢測相同的IP范圍內。這些IP地址似乎已配置為”蜜罐”，每臺計算機都會加載各種Equation相關樣本。目前并未在這些”蜜罐”中檢測到并提交任何異常(不可執行文件)的樣本，因此沒有以任何特殊的方式來處理檢測信息。

在調查中，未發現2015年、2016年或2017年發生過任何其他相關事件。

卡巴斯基實驗室的網絡中沒有檢測到除Duqu 2.0以外的其他任何第三方入侵。

調查證實了卡巴斯基實驗室從未依據”最高機密”和”已分類”等關鍵字，對其產品中的非武器化(非惡意)文件進行任何檢測。

我們認為，上述內容是對2014年這起事件的準確分析。調查仍在進行當中，若發現其他技術信息，公司將陸續進行披露。根據全球透明度倡議，我們計劃公開有關此事件的全部信息，包括所有技術細節與可信第三方，以供交叉驗證。