被指控代表克里姆林宮進行網路間諜活動,防毒發行商卡巴斯基實驗室剛發布調查的初步結果這是他在內部發起的。公佈的資訊特別有趣,因為它詳細說明了這一切發生的情況。首先,卡巴斯基確認其從方程式組織中獲取了代碼——換句話說,國家安全局– 來自安裝了面向個人的版本的 PC。 2014年9月11日至11月17日期間,防毒偵測引擎發現多個“方程式組織使用的新的、未知的和正在開發的惡意軟體變體”。
一些惡意可執行檔直接在 PC 上被發現,例如 GrayFish 木馬,這是一種能夠感染硬碟韌體的惡意軟體。其他變體被捆綁到 7zip 檔案中,防毒軟體在自動將其上傳到卡巴斯基伺服器進行進一步分析之前將其識別為潛在惡意軟體。這些是由一名安全研究人員執行的,他能夠確認該存檔中不僅有可執行文件,而且還有與方程組相關的原始程式碼。該分析師隨後向執行長尤金·卡巴斯基發出警報,後者下令刪除所有數據。“檔案尚未與第三方分享”,編輯下劃線。
令人難以置信的資料洩露
但這還不是全部。這台電腦的用戶顯然安裝了盜版的 Microsoft Office,因為防毒軟體也偵測到了名為 Mokes 的惡意軟體,該惡意軟體是由該辦公室套件的啟動金鑰產生器安裝的。根據卡巴斯基的說法,Mokes 是“完整的後門可以允許第三方存取機器”。該惡意軟體是在電腦上安裝的虛擬機器的 ISO 資料夾中發現的。
這個發現顯然是令人驚訝的。根據《紐約時報》和《華盛頓郵報》的文章,竊取這些秘密資料的人是客製化存取操作(TAO)部門的成員,該部門匯集了美國國家安全局的精英駭客。因此,此人必須具有強大的電腦安全技能,因此會將NSA 惡意軟體留在PC 上,該PC 上還裝有盜版的Microsoft Office,以及可能檢測秘密可執行文件和副本以供分析的防毒軟體.用戶本可以透過停用此傳輸功能來保護自己免受資料外洩的影響,但他沒有這樣做。當然,人都會犯錯,但在這個層面上,這確實不符合邏輯。
防毒軟體會針對秘密文件嗎?
另一個問題,如前所述有線,就是間諜活動。美國媒體報道稱,卡巴斯基防毒軟體被專門操縱,以使用「絕密」或「機密」等關鍵字來尋找秘密文件。但根據卡巴斯基提供的信息,該防毒軟體會以完全正常的方式運作:它檢測到可疑的檔案並下載該檔案以進行進一步分析。
經過手動分析後,發布者才意識到這些文件中存在絕密原始碼,因此決定刪除所有內容。「如果有人發給我這個,並且它是我有業務存在的國家的源代碼,我會立即刪除它,老實說,我會聯繫我的總法律顧問,因為我不想在下次我被捕時降落在某個地方時»網路安全專家傑克威廉斯 (Jake Williams) 在《連線》專欄中解釋。
該出版商補充說,它於 2015 年在屬於 Equation 組織的電腦上發現了其他惡意軟體“在同一個IP域”比以前的用戶。這些機器顯然被配置為“蜜罐”,旨在捕獲第三方參與者。這似乎支持了《華盛頓郵報》的報導,即美國特勤局已經對測試機器上卡巴斯基防毒軟體的檢測進行了最終研究。
關於一罐蜂蜜的問題
但我們不知道這些測試的細節。防毒軟體只是檢測可執行檔嗎?他又在哪裡發現了被標記為絕密的文件?就其本身而言,卡巴斯基聲稱其軟體僅複製可執行檔。“調查證實卡巴斯基實驗室從未在其產品中創建非惡意和機密文檔檢測””,出版商解釋說,他還強調在其網路中沒有發現俄羅斯駭客的痕跡。
現在球落在了美國的手裡,而美國必須證明事實恰恰相反。「卡巴斯基顯然有可能設計出能夠檢測我們在美國秘密文件中看到的『TS//SI/OC/REL TO USA』等行的簽名,然後將其上傳到俄羅斯。如果我們的政府認為這就是正在發生的事情,它就必須提供一個解釋。另一位安全專家羅伯特·格雷厄姆 (Robert Graham) 在一篇文章中解釋道部落格文章。霧還沒準備好消散。