本周四(11 月 16 日),卡巴斯基实验室公布了关于 NSA 数据被盗事件的调查细节,力证自己并非是俄罗斯政府的间谍,只是有其他俄罗斯黑客利用了卡巴斯基的软件去窃取 NSA 的数据。
自 6 月份遭遇美国当局调查以来,卡巴斯基实验室这几个月可谓是深陷间谍的舆论中不可脱身。不过还好其常规业务似乎没受什么影响,依旧持续为用户提供产品,输出业务报告:
卡巴斯基2017年第二季度IT威胁及演变
卡巴斯基2017第二季度APT趋势分析报告
卡巴斯基实验室《2017年Q2垃圾邮件与网络钓鱼分析报告》
深陷间谍风波
10 月份,正当国内同胞开开心心享受国庆假日之时,华尔街日报发表文章声称俄罗斯安全公司卡巴斯基(Kaspersky Lab)和俄罗斯政府之间存在关联,且给出了证据。报道表示,俄罗斯政府支持的黑客早在 2015 年窃取到 NSA 的高度机密文档,且主要依靠了卡巴斯基的帮助。
其实,此前美国政府也多次宣称卡巴斯基与俄罗斯政府有关系。6 月底,FBI 就对十几名卡巴斯基实验室总部的工作人员进行调查询问。随后,就有参议员表示卡巴斯基有可能在从事间谍活动,并向有关部门提议禁止使用卡巴斯基的产品。有匿名消息称,一名 NSA 工程师将 NSA 的一部分网络武器文件带回家,在个人计算机上进行操作,由于该计算机上运行了卡巴斯基的产品,导致这些机密文件通过卡巴斯基产品而泄露给克林姆林宫。因此,外媒和美国政府都声称卡巴斯基与俄罗斯政府情报机构有关联。随着事件的演变,美国国土安全部最终下令要求各政府机构最晚在 12 月 12 日卸载卡巴斯基的软件。
业务透明化,自证清白
面对危机,卡巴斯基 CEO 坚决否认自己与俄罗斯政府有关,并采取了一系列措施重建信任:
6 月底就将产品源代码提交给美国政府官员进行审查
10 月底发布“全透明计划”,向第三方审查机构公开反病毒软件源代码和内部流程
10 月底发布报告揭露 NSA 数据泄露过程
11 月中旬(本周四)再次发布关于 NSA 数据被盗事件的详细调查报告
在本周四发布的详细调查报告中,卡巴斯基实验室表示,当初华尔街日报所披露的 NSA 数据泄露事件大致发生在 2014 年 9 月 11 日到 2014 年 11 月 17 日之间,并非是在 2015 年,华尔街日报似乎是把日期弄混了。当时卡巴斯基检测到某个恶意软件,IP 地址指向 Maryland 的 Baltimore 地区,靠近美国国家安全局总部。后来才发现,这个恶意软件的使用者是与 NSA 有关的 Equation Group(方程式组织)所使用的。
该恶意软件所在的计算机中也装载了卡巴斯基的杀毒软件,因此包含恶意程序文件的存档通过杀毒软件发送回了卡巴斯基系统。经分析,该存档包含 Equation 组织所使用的恶意软件源代码以及四个分类明确的文档(如机要、保密等),并为不同的工具命名(包括 Equation、Grayfish、Fanny、DoubleFantasy 和 Equestre 等)。
此前还有指控称,卡巴斯基产品经过专门配置,可以在产品所处系统中搜寻机密文档。这份详细报告中也对此给出了解释:公司有经验丰富的开发人员仔细处理和验证所有从用户设备检索文件的签名;而且没有证据表明有人在调查 Equation 恶意软件期间为标记为“秘密”的文件创建了签名。
卡巴斯基也承认,的确有分析员为名称包含字符串“secret”的文件创建了一个签名,但只是为了调查与 TeamSpy 间谍活动有关的恶意软件。这个签名包含该恶意软件特有的路径,以避免误报。
一份档案指向很多签名,这属于异常情况。因此我们决定深入研究系统警报,了解真相。在分析只有,我们发现,这个系统不仅包含了这份档案,还包含很多相似和未知的文件,都可能与恶意软件开发者有关。
因此,卡巴斯基才保留了这些记录,以便对抗恶意软件。
卡巴斯基分析员在发现这些档案之后,立即通上报给了公司的 CEO,随后接到指示将这些文件从存储系统中删除。因此,卡巴斯基表示,很有可能某个俄罗斯黑客组织从某些途径获取到这些分类的文件。卡巴斯基在报告中坚称自己绝对没有从事间谍活动,且已经从系统中删除了相关数据,最多有一些数值和元数据残留。但是,他们也无法保证公司员工能妥善处理这些残留的内容。
我们无法评估这些残留数据是否在员工手中得到了“妥善处理”,因为公司分析师此前没有接受过训练,不知道如何正确处理美国的分类机密信息;何况他们也没有义务去妥善处理。
此外,卡巴斯基还表示,尽管其系统曾在 2105 年遭遇与以色列情报机构有关的黑客组织的入侵,但也没有证据表明其系统中泄露了 NSA 的数据。
还有一种情况是,卡巴斯基杀毒软件被禁用后,那位 NSA 员工的计算机感染了恶意软件。详情是:该 IP 相关的计算机被发现在 2014 年 10 月 4 日当地时间 23:38 感染了恶意程序,原因是计算机安装了一个盗版的 MS Office 2013 程序,安装镜像“Office-2013-PPVL-x64-en-US-Oct2013.iso”包含了恶意程序。该员工为了使用已知的激活工具安装盗版的 Microsoft Office ,关闭了杀毒软件。等杀毒软件重启后,卡巴斯基在系统上检测到了 121 个与 Equation 无关的恶意软件。与 Office 激活工具相关的恶意软件是自 2011 年以来就在在俄罗斯地下论坛上销售的 Smoke Bot(又名 Smoke Loader)。数据泄露时,该恶意软件正与位于中国的某个私人建立的服务器通信。也就是说,NSA 承包商的计算机是因为感染了当时没有被发现的恶意软件,最终导致数据泄露。
卡巴斯基表示:
考虑到该系统所有者的潜在清除能力,该用户很可能成为某些民族国家黑客的首要目标。由于该用户急切需要使用 Windows 和 Office 的破解版本,但自身安全措施不到位,对于机密分类的材料又处理不当,因此很有可能这位员工自身是泄漏源,且已经泄露给多个不同终端。
重建良好合作?道阻且长
自 7 月份美国总务管理局将卡巴斯基实验室及其旗下的安全公司从供应商名单中删除以来,卡巴斯基就开始了漫长的自证清白之路。
从表面上来看,封杀卡巴斯基似乎是美国政府为了确保网络安全而采取的所谓“合理”举措,但深刻分析来看,由于当初俄罗斯干预美国大选造成美俄关系持续紧张,包括卡巴斯基在内的美国科技公司如果跟俄罗斯有业务关系,似乎多少都会受到此次美国禁用俄罗斯相关产品的影响。
卡巴斯基实验室发言人曾表示:
没有人或组织公开过可靠的证据,因为这些指控都是虚假指控和错误的假设,包括俄罗斯法律对公司的影响。卡巴斯基实验室从来没有帮助过任何政府,也不会帮助世界上任何政府进行网络攻击,令人不安的是,仅仅由于地缘政治问题,一家私营公司就可以被认定为有罪。
鉴于卡巴斯基在国际市场领先的地位和较高的市场份额,美国政府禁用的举措一时之间似乎并未造成太大影响。卡巴斯基总统 CEO 尤金•卡巴斯基曾表示:“我猜好消息是对美国政府的销售并不是公司在北美地区的主要业务组成部分。所以,尽管不幸,但我们仍将继续关注和保护我们真正的客户群、企业和消费者。”
这位 CEO 良好的心态大概也是卡巴斯基敢于公开产品源代码进行审计的原因。至于真相到底如何,相信时间会给出答案。
当我们谈及网络安全时,我们想看到的是各方联动、信息共享,这样才能带来更快的响应速度和更高的响应效率。正如今年频频发生的 WannaCry、NotPetya、KRACK、BadRabbit 等安全事件中,各方的联动合作才得到了较好的防御效果 。但实际上,网络安全领域之间的国际合作基础,似乎比较薄弱。而一旦信任崩塌,合作不再,那么个人、企业、乃至国家都可能遭受网络攻击的危害。
安全领域会走向巴尔干化吗?我们不知道。只是安全产品和安全企业的“地缘政治斗争”,一直都没有停息。
卡巴斯基事件回顾:
卡巴斯基创始人否认与俄罗斯政府有牵连,表示愿意提供源代码供核查
外媒称卡巴斯基和俄罗斯情报部门勾结
美政府宣布将禁用卡巴斯基产品
克林姆林宫回应美政府机构禁止使用卡巴斯基
卡巴斯基CEO:说我们和俄罗斯政府联手窃取NSA机密信息,你们在拍C级片吗?
重建信任第一步:卡巴斯基将向第三方审查机构提供反病毒软件源代码
卡巴斯基揭秘 | NSA黑客工具是如何被泄露的?
了解更多详情,可点击这里阅读报告原文。
感兴趣的读者还可以去浏览卡巴斯基 CEO 尤金•卡巴斯基的官方博客,可以说是相当有趣的。
参考来源:
[1] http://www.securityweek.com/kaspersky-shares-more-details-nsa-incident
[2] https://www.theregister.co.uk/2017/11/16/kaspersky_nsa_staffers_pc_was_riddled_with_malware_from_pirated_code/
*本文作者 AngelaY,转载请注明来自 FreeBuf.COM