常见问题
这个内部调查的内容是什么?
2017年10月,美国多家媒体报道了卡巴斯基安全网络和美国国家安全局分类数据的相关事件,据称这些数据在2015年泄露。为此,我们决定对整个事件进行全面核查。
你有查到有关这个事件的资料吗?
没有,我们没查到与2015年这起事件相关的任何资料。不过,2014年发生过的一起事件和媒体最近报道的事件倒有几分相似。
那么到底是什么情况?
我们的产品在用户系统上检测到已知的Equation恶意软件。后来,在同一系统中,又检测到了因使用盗版微软Office而产生的非Equation后门,还有一个包含以前未知恶意软件样本的7-Zip存档文件。检测到这些内容后,我们的产品就把该存档文件发给了我们的反病毒研究人员进行分析。结果发现,该存档文件含有似乎与Equation Group相关的恶意软件源代码,同时还有几个带分类标记的Word文档。
这个后门是什么?
就是Mokes后门,也称为”Smoke Bot”或”Smoke Loader”。这种恶意软件有意思的地方是,2011年它在俄罗斯地下论坛上公开出售。另外值得注意的是,这种恶意软件的命令控制服务器在2014年9月至11月这段时间,在一个名为”Zhou Lou”的中国实体(猜测是中国实体)上注册。
这是感染这台电脑的唯一恶意软件吗?
很难说:这个系统上有很长一段时间禁用了我们的产品。不过,我们能说的是,在启用我们产品的这段时间,共报告了121次警报,涉及不同类型的Equation 恶意软件:后门、漏洞、木马和广告软件。所以这台电脑似乎颇受恶意软件的青睐。
你们的软件是否会有意搜索这种存档文件 – 比如说含有”最高机密”或”已分类”等关键字的存档文件?
不,不会。恶意档案文件是我们主动防御技术自动检测出来的。
你们与任何第三方共享了这个存档文件和/或其所含的文件吗?
没有,我们没有这样做。而且,在CEO的要求下,我们立即删除了这个存档。
为什么要删除这些文件?
因为我们不需要源代码,更不需要大致分类的Word文档来提高我们的防御能力。编译后的文件(二进制文件)就足以满足我们的要求 – 这类文件会保留在我们的存储器中,而且存储器上只保留这类文件。
你们发现公司网络有任何被攻击的迹象吗?
除了Duqu 2.0外我们没有发现任何威胁。事件之后我们已经公开报告了Duqu 2.0。
你们是否愿意与独立方分享数据?
愿意,我们已经准备好提供所有的独立审计数据。同时,你还可以访问我们的Securelist网站上的报告,了解更多技术细节。
完整调查结果
2017年10月,卡巴斯基实验室对公司的遥测日志中,与媒体报道的所谓2015年事件相关的内容进行了全面审查。 在APT调查期间,我们只发现了一起在2014年发生的事件,当时我们的检测子系统捕捉到疑似Equation恶意软件的源代码文件,随后决定检查是否还有其他类似事件。此外,我们决定调查在这起所谓的2015年事件发生时,除了Duqu 2.0之外,我们的系统中是否还存在其他第三方入侵。
我们从2014年开始,对与这起事件相关的内容进行了深入调查,初步调查结果如下:
- 在Equation APT(高级持续性威胁)调查期间,我们发现全球有40多个国家被感染。
- 其中部分感染发生在美国。
- 按照例行程序,卡巴斯基实验室向美国有关政府机构通报了美国地区的主动APT感染情况。
- 其中美国地区的一种感染软件由Equation集团似乎从未用过的未知调试恶意软件变种构成。
- 检测到Equation新样本的事件使用的是卡巴斯基家庭用户产品系列,并启用了KSN以及自动提交新恶意软件和未知恶意软件样本的功能。
- 此事件中第一次检测到Equation恶意软件是在2014年9月11日。检测到的是以下样本:◦ 44006165AABF2C39063A419BC73D790D ◦ mpdkg32.dll
- 定论:HEUR:Trojan.Win32.GrayFish.gen
- 在执行了这些检测之后,我们发现用户似乎在其电脑上下载并安装了盗版软件,如非法的微软Office激活密钥生成器(又称为”keygen”)(md5:a82c0575f214bdc7c8ef5a06116cd2a4 – 用于检测覆盖,请参阅此VirusTotal链接),结果被恶意软件所感染。卡巴斯基实验室产品检测出的恶意软件给出的定论是Win32.Mokes.hvl。
- 在名为”Office-2013-PPVL-x64-zh-CN-Oct2013.iso”的文件夹中检测到该恶意软件。这表明ISO映像在系统中是作为虚拟驱动器/文件夹安装的。
- 自2013年以来,卡巴斯基实验室产品中已经可以检测到Backdoor.Win32.Mokes.hvl(伪造keygen)。
- 这台电脑上第一次检测到恶意(伪造)keygen是在2014年10月4日。
- 为了安装并运行此keygen,用户似乎禁用了其电脑上的卡巴斯基产品。我们的遥测技术不允许我们说反病毒功能已禁用,然而,事实上keygen恶意软件后来被检测到在系统中运行,这表明反病毒功能已禁用或者在运行keygen时没有启用反病毒功能。若是启用了反病毒功能,keygen是不可能执行的。
- 用户感染了此恶意软件的时间不明,但在此期间反病毒产品肯定处于不活动状态。通过keygen木马程序载入的恶意软件是一个成熟的后门,可能允许第三方访问用户的电脑。
- 后来,用户重新启用反病毒软件并正确检测到产品(定论:”Win32.Mokes.hvl“),并阻止此恶意软件进一步运行。
- 作为目前调查的一部分,卡巴斯基实验室的研究人员深入研究了这个后门和其他从计算机发出的与威胁相关的非Equation遥测。众所周知,Mokes后门(也被称为”Smoke Bot”或”Smoke Loader”)是在俄罗斯地下论坛上出现的;卡巴斯基实验室的研究表明,在2014年9月至11月这段时间,这种恶意软件的命令控制服务器注册到了一外名为”zhou lou”的实体(显然这是个中国实体)。在这里可以阅读关于Mokes后门的技术分析。.
- 在两个月的时间里,安装在该系统上的产品报告了121项非Equation恶意软件警报,涉及:后门、漏洞、特洛伊木马程序和广告软件。有限的可用遥测量让我们确认,我们的产品发现了威胁;但是,在我们产品被禁用期间,无从确定这些威胁是否在执行。卡巴斯基实验室将继续研究其他恶意样本,分析完成后将立即公布进一步的结果。
- 感染Backdoor.Win32.Mokes.hvl恶意软件后,用户多次扫描计算机,结果检测到Equation APT恶意软件的新变种和未知变种。
- 产品检测到的其中一个文件是Equation APT恶意软件的新变种:7-Zip存档文件。
- 该存档本身被检测为恶意文件,因而被提交给卡巴斯基实验室进行分析,我们的一位分析师对其进行了处理。处理后发现,该存档中含有多个恶意软件样本和源代码,似乎都是Equation恶意软件,另外还有四个带有分类标记的Word文件。
- 发现疑似Equation恶意软件的源代码后,分析师向CEO报告了这一事件。在CEO的要求下,我们删除了系统中所有的存档。该存档没有与任何第三方共享。
- 由于此次事件,我们为所有恶意软件分析人员制定了一项新政策:现在,要求他们删除反恶意软件研究期间意外收集的所有潜在分类资料。
- 卡巴斯基实验室删除这些文件并会在将来删除类似文件的原因有两个:一是,我们只需要恶意软件的二进制文件来提高防御能力;二是,我们对如何处理潜在分类资料有顾虑。
- 2015年,没有从该用户那里收到进一步的检测信息。
- 根据2015年2月我们发布的Equation通知,其他几位启用了KSN的用户均出现在与原始检测相同的IP范围内。这些IP地址似乎已配置为”蜜罐”,每台计算机都会加载各种Equation相关样本。目前并未在这些”蜜罐”中检测到并提交任何异常(不可执行文件)的样本,因此没有以任何特殊的方式来处理检测信息。
- 在调查中,未发现2015年、2016年或2017年发生过任何其他相关事件。
- 卡巴斯基实验室的网络中没有检测到除Duqu 2.0以外的其他任何第三方入侵。
- 调查证实了卡巴斯基实验室从未依据”最高机密”和”已分类”等关键字,对其产品中的非武器化(非恶意)文件进行任何检测。
我们认为,上述内容是对2014年这起事件的准确分析。调查仍在进行当中,若发现其他技术信息,公司将陆续进行披露。根据全球透明度倡议,我们计划公开有关此事件的全部信息,包括所有技术细节与可信第三方,以供交叉验证。
本文已于2017年10月27日更新,包括时间戳和常见问题;2017年11月16日更新的内容包含新的调查结果。可以访问我们的Securelist网站上的报告,了解更多技术细节。