被指控代表克里姆林宫进行网络间谍活动,反病毒发行商卡巴斯基实验室刚刚发布调查的初步结果这是他在内部发起的。公布的信息特别有趣,因为它详细说明了这一切发生的情况。首先,卡巴斯基确认其从方程式组织中获取了代码——换句话说,国家安全局– 来自安装了面向个人的版本的 PC。 2014年9月11日至11月17日期间,防病毒检测引擎发现多个“方程式组织使用的新的、未知的和正在开发的恶意软件变体”。
一些恶意可执行文件直接在 PC 上被发现,例如 GrayFish 木马,这是一种能够感染硬盘固件的恶意软件。其他变体被捆绑到 7zip 存档中,防病毒软件在自动将其上传到卡巴斯基服务器进行进一步分析之前将其识别为潜在恶意软件。这些是由一名安全研究人员执行的,他能够确认该存档中不仅有可执行文件,而且还有与方程组相关的源代码。该分析师随后向首席执行官尤金·卡巴斯基发出警报,后者下令删除所有数据。“档案尚未与第三方共享”,编辑下划线。
令人难以置信的数据泄露
但这还不是全部。这台电脑的用户显然安装了盗版的 Microsoft Office,因为防病毒软件还检测到了名为 Mokes 的恶意软件,该恶意软件是由该办公套件的激活密钥生成器安装的。根据卡巴斯基的说法,Mokes 是“完整的后门可以允许第三方访问机器”。该恶意软件是在计算机上安装的虚拟机的 ISO 文件夹中发现的。
这个发现显然是令人惊讶的。根据《纽约时报》和《华盛顿邮报》的文章,窃取这些秘密数据的人是定制访问操作(TAO)部门的成员,该部门汇集了美国国家安全局的精英黑客。因此,此人必须具有很强的计算机安全技能,因此会将 NSA 恶意软件留在 PC 上,该 PC 上还装有盗版的 Microsoft Office,以及可能检测秘密可执行文件和副本以供分析的防病毒软件。用户本可以通过停用此传输功能来保护自己免受数据泄露的影响,但他没有这样做。当然,人都会犯错,但在这个层面上,这确实不符合逻辑。
防病毒软件会针对秘密文件吗?
另一个问题,如前所述有线,就是间谍活动。美国媒体报道称,卡巴斯基反病毒软件被专门操纵,以使用“绝密”或“机密”等关键词查找秘密文件。但根据卡巴斯基提供的信息,该防病毒软件会以完全正常的方式运行:它检测到可疑的档案并下载该档案以进行进一步分析。
经过手动分析后,发布者才意识到这些文件中存在绝密源代码,因此决定删除所有内容。“如果有人发给我这个,并且它是我有业务存在的国家的源代码,我会立即删除它,老实说,我会联系我的总法律顾问,因为我不想在下一次被捕下次我降落在某个地方时»网络安全专家杰克·威廉姆斯 (Jake Williams) 在《连线》专栏中解释道。
该出版商补充说,它于 2015 年在属于 Equation 组织的计算机上发现了其他恶意软件“在同一个IP域”比以前的用户。这些机器显然被配置为“蜜罐”,旨在捕获第三方参与者。这似乎支持了《华盛顿邮报》的报道,即美国特勤局已经对测试机器上卡巴斯基反病毒软件的检测进行了最终研究。
关于一罐蜂蜜的问题
但我们不知道这些测试的细节。防病毒软件只是检测可执行文件吗?它的作用是什么?他又在哪里发现了被标记为绝密的文件?就其本身而言,卡巴斯基声称其软件仅复制可执行文件。“调查证实卡巴斯基实验室从未在其产品中创建非恶意和机密文档检测””,出版商解释说,他还强调在其网络中没有发现俄罗斯黑客的踪迹。
现在球落在了美国的手里,而美国必须证明事实恰恰相反。“卡巴斯基显然有可能设计出能够检测我们在美国秘密文件中看到的‘TS//SI/OC/REL TO USA’等行的签名,然后将其上传到俄罗斯。如果我们的政府认为这就是正在发生的事情,它就必须提供一个解释。”另一位安全专家罗伯特·格雷厄姆 (Robert Graham) 在一篇文章中解释道博客文章。雾还没有准备好消散。
