本周四(11 月 16 日),卡巴斯基實驗室公布了關于 NSA 數據被盜事件的調查細節,力證自己并非是俄羅斯政府的間諜,只是有其他俄羅斯黑客利用了卡巴斯基的軟件去竊取 NSA 的數據。
自 6 月份遭遇美國當局調查以來,卡巴斯基實驗室這幾個月可謂是深陷間諜的輿論中不可脫身。不過還好其常規業務似乎沒受什么影響,依舊持續為用戶提供產品,輸出業務報告:
卡巴斯基2017年第二季度IT威脅及演變
卡巴斯基2017第二季度APT趨勢分析報告
卡巴斯基實驗室《2017年Q2垃圾郵件與網絡釣魚分析報告》
深陷間諜風波
10 月份,正當國內同胞開開心心享受國慶假日之時,華爾街日報發表文章聲稱俄羅斯安全公司卡巴斯基(Kaspersky Lab)和俄羅斯政府之間存在關聯,且給出了證據。報道表示,俄羅斯政府支持的黑客早在 2015 年竊取到 NSA 的高度機密文檔,且主要依靠了卡巴斯基的幫助。
其實,此前美國政府也多次宣稱卡巴斯基與俄羅斯政府有關系。6 月底,FBI 就對十幾名卡巴斯基實驗室總部的工作人員進行調查詢問。隨后,就有參議員表示卡巴斯基有可能在從事間諜活動,并向有關部門提議禁止使用卡巴斯基的產品。有匿名消息稱,一名 NSA 工程師將 NSA 的一部分網絡武器文件帶回家,在個人計算機上進行操作,由于該計算機上運行了卡巴斯基的產品,導致這些機密文件通過卡巴斯基產品而泄露給克林姆林宮。因此,外媒和美國政府都聲稱卡巴斯基與俄羅斯政府情報機構有關聯。隨著事件的演變,美國國土安全部最終下令要求各政府機構最晚在 12 月 12 日卸載卡巴斯基的軟件。
業務透明化,自證清白
面對危機,卡巴斯基 CEO 堅決否認自己與俄羅斯政府有關,并采取了一系列措施重建信任:
6 月底就將產品源代碼提交給美國政府官員進行審查
10 月底發布“全透明計劃”,向第三方審查機構公開反病毒軟件源代碼和內部流程
10 月底發布報告揭露 NSA 數據泄露過程
11 月中旬(本周四)再次發布關于 NSA 數據被盜事件的詳細調查報告
在本周四發布的詳細調查報告中,卡巴斯基實驗室表示,當初華爾街日報所披露的 NSA 數據泄露事件大致發生在 2014 年 9 月 11 日到 2014 年 11 月 17 日之間,并非是在 2015 年,華爾街日報似乎是把日期弄混了。當時卡巴斯基檢測到某個惡意軟件,IP 地址指向 Maryland 的 Baltimore 地區,靠近美國國家安全局總部。后來才發現,這個惡意軟件的使用者是與 NSA 有關的 Equation Group(方程式組織)所使用的。
該惡意軟件所在的計算機中也裝載了卡巴斯基的殺毒軟件,因此包含惡意程序文件的存檔通過殺毒軟件發送回了卡巴斯基系統。經分析,該存檔包含 Equation 組織所使用的惡意軟件源代碼以及四個分類明確的文檔(如機要、保密等),并為不同的工具命名(包括 Equation、Grayfish、Fanny、DoubleFantasy 和 Equestre 等)。
此前還有指控稱,卡巴斯基產品經過專門配置,可以在產品所處系統中搜尋機密文檔。這份詳細報告中也對此給出了解釋:公司有經驗豐富的開發人員仔細處理和驗證所有從用戶設備檢索文件的簽名;而且沒有證據表明有人在調查 Equation 惡意軟件期間為標記為“秘密”的文件創建了簽名。
卡巴斯基也承認,的確有分析員為名稱包含字符串“secret”的文件創建了一個簽名,但只是為了調查與 TeamSpy 間諜活動有關的惡意軟件。這個簽名包含該惡意軟件特有的路徑,以避免誤報。
一份檔案指向很多簽名,這屬于異常情況。因此我們決定深入研究系統警報,了解真相。在分析只有,我們發現,這個系統不僅包含了這份檔案,還包含很多相似和未知的文件,都可能與惡意軟件開發者有關。
因此,卡巴斯基才保留了這些記錄,以便對抗惡意軟件。
卡巴斯基分析員在發現這些檔案之后,立即通上報給了公司的 CEO,隨后接到指示將這些文件從存儲系統中刪除。因此,卡巴斯基表示,很有可能某個俄羅斯黑客組織從某些途徑獲取到這些分類的文件。卡巴斯基在報告中堅稱自己絕對沒有從事間諜活動,且已經從系統中刪除了相關數據,最多有一些數值和元數據殘留。但是,他們也無法保證公司員工能妥善處理這些殘留的內容。
我們無法評估這些殘留數據是否在員工手中得到了“妥善處理”,因為公司分析師此前沒有接受過訓練,不知道如何正確處理美國的分類機密信息;何況他們也沒有義務去妥善處理。
此外,卡巴斯基還表示,盡管其系統曾在 2105 年遭遇與以色列情報機構有關的黑客組織的入侵,但也沒有證據表明其系統中泄露了 NSA 的數據。
還有一種情況是,卡巴斯基殺毒軟件被禁用后,那位 NSA 員工的計算機感染了惡意軟件。詳情是:該 IP 相關的計算機被發現在 2014 年 10 月 4 日當地時間 23:38 感染了惡意程序,原因是計算機安裝了一個盜版的 MS Office 2013 程序,安裝鏡像“Office-2013-PPVL-x64-en-US-Oct2013.iso”包含了惡意程序。該員工為了使用已知的激活工具安裝盜版的 Microsoft Office ,關閉了殺毒軟件。等殺毒軟件重啟后,卡巴斯基在系統上檢測到了 121 個與 Equation 無關的惡意軟件。與 Office 激活工具相關的惡意軟件是自 2011 年以來就在在俄羅斯地下論壇上銷售的 Smoke Bot(又名 Smoke Loader)。數據泄露時,該惡意軟件正與位于中國的某個私人建立的服務器通信。也就是說,NSA 承包商的計算機是因為感染了當時沒有被發現的惡意軟件,最終導致數據泄露。
卡巴斯基表示:
考慮到該系統所有者的潛在清除能力,該用戶很可能成為某些民族國家黑客的首要目標。由于該用戶急切需要使用 Windows 和 Office 的破解版本,但自身安全措施不到位,對于機密分類的材料又處理不當,因此很有可能這位員工自身是泄漏源,且已經泄露給多個不同終端。
重建良好合作?道阻且長
自 7 月份美國總務管理局將卡巴斯基實驗室及其旗下的安全公司從供應商名單中刪除以來,卡巴斯基就開始了漫長的自證清白之路。
從表面上來看,封殺卡巴斯基似乎是美國政府為了確保網絡安全而采取的所謂“合理”舉措,但深刻分析來看,由于當初俄羅斯干預美國大選造成美俄關系持續緊張,包括卡巴斯基在內的美國科技公司如果跟俄羅斯有業務關系,似乎多少都會受到此次美國禁用俄羅斯相關產品的影響。
卡巴斯基實驗室發言人曾表示:
沒有人或組織公開過可靠的證據,因為這些指控都是虛假指控和錯誤的假設,包括俄羅斯法律對公司的影響。卡巴斯基實驗室從來沒有幫助過任何政府,也不會幫助世界上任何政府進行網絡攻擊,令人不安的是,僅僅由于地緣政治問題,一家私營公司就可以被認定為有罪。
鑒于卡巴斯基在國際市場領先的地位和較高的市場份額,美國政府禁用的舉措一時之間似乎并未造成太大影響。卡巴斯基總統 CEO 尤金 卡巴斯基曾表示:“我猜好消息是對美國政府的銷售并不是公司在北美地區的主要業務組成部分。所以,盡管不幸,但我們仍將繼續關注和保護我們真正的客戶群、企業和消費者。”
這位 CEO 良好的心態大概也是卡巴斯基敢于公開產品源代碼進行審計的原因。至于真相到底如何,相信時間會給出答案。
當我們談及網絡安全時,我們想看到的是各方聯動、信息共享,這樣才能帶來更快的響應速度和更高的響應效率。正如今年頻頻發生的 WannaCry、NotPetya、KRACK、BadRabbit 等安全事件中,各方的聯動合作才得到了較好的防御效果 。但實際上,網絡安全領域之間的國際合作基礎,似乎比較薄弱。而一旦信任崩塌,合作不再,那么個人、企業、乃至國家都可能遭受網絡攻擊的危害。
安全領域會走向巴爾干化嗎?我們不知道。只是安全產品和安全企業的“地緣政治斗爭”,一直都沒有停息。
卡巴斯基事件回顧:
卡巴斯基創始人否認與俄羅斯政府有牽連,表示愿意提供源代碼供核查
外媒稱卡巴斯基和俄羅斯情報部門勾結
美政府宣布將禁用卡巴斯基產品
克林姆林宮回應美政府機構禁止使用卡巴斯基
卡巴斯基CEO:說我們和俄羅斯政府聯手竊取NSA機密信息,你們在拍C級片嗎?
重建信任第一步:卡巴斯基將向第三方審查機構提供反病毒軟件源代碼
卡巴斯基揭秘 | NSA黑客工具是如何被泄露的?
了解更多詳情,可點擊這里閱讀報告原文。
感興趣的讀者還可以去瀏覽卡巴斯基 CEO 尤金 卡巴斯基的官方博客,可以說是相當有趣的。
參考來源:
[1] http://www.securityweek.com/kaspersky-shares-more-details-nsa-incident
京公網安備 11010502049343號