■王蕊
卡巴斯基揭秘神秘APT攻击现形记
■王蕊
近日,卡巴斯基实验室宣布,公司检测出一种利用多达三种零日漏洞的最新恶意软件平台——Duqu 2.0。而该恶意软件平台是迄今为止发现的技术最先进、最神秘同时也是最强大的高级可持续性威胁(APT)之一。Duqu 2.0攻击包括多个未曾发现的独特功能,而且几乎不会留下任何痕迹,致使其很难被检出。尽管Duqu 2.0攻击组织的思维理念与方式遥遥领先于其他APT攻击组织,卡巴斯基实验室所拥有的领先技术与顶级研究专家使公司成功发现了该攻击组织。目前,卡巴斯基实验室的产品已将这种威胁检测为HEUR:Trojan.Win32. Duqu2.gen,并且能够高效保护企业与个人用户免受Duqu 2.0侵扰。
实际上,早在2015年初的一次测试中,卡巴斯基专家就发现了这一威胁。当时,公司正在开发一款APT防御解决方案。正是该方案的原型显示出公司网络遭遇复杂针对性攻击的迹象。此后,卡巴斯基启动了内部调查。由公司研究人员、逆向工程师和恶意软件分析师组成的专业团队深入分析了这种独特的攻击,并最终发现了Duqu 2.0。
卡巴斯基安全专家的分析显示,这是一起精心策划和实施的网络间谍行动,其幕后黑手就是2011年臭名昭著的Duqu背后组织。卡巴斯基认为,该攻击行动受到了政府的支持。攻击者的主要目的在于监视卡巴斯基的技术、最新研究以及内部流程。除了试图盗窃公司的知识产权(包括卡巴斯基的安全操作系统、卡巴斯基反欺诈解决方案、卡巴斯基安全网络和APT防御解决方案以及服务)和高级针对性攻击的近期研究数据外,此次攻击并未出现其他恶意行为,因此不会对公司的产品、技术和服务造成影响。目前,卡巴斯基已采取有效措施确保公司用户及其合作伙伴处于非常安全的状态,并且避免类似的问题再次发生。而通过获取到的攻击信息,卡巴基斯将进一步提升其多款产品的性能。
然而,卡巴斯基并非这种强大的网络攻击的唯一目标。卡巴斯基研究专家还在西方国家、中东和亚洲地区发现了其他受害者。尤其值得注意的是,发生于2014至2015年的一些最新感染同P5+1(伊朗核问题六方会谈)会议及其地点有关。Duqu幕后的攻击者似乎在会议地点发起了攻击。除了P5+1会谈,攻击者还针对纪念奥斯维辛集中营解放70周年相关仪式和会议发动了类似的攻击。该活动的与会者多为外国政府高官和要员。
在谈及这一重大发现时,卡巴斯基实验室CEO尤金·卡巴斯基表示:“监视网络安全公司是一件非常危险的事情。当今世界,硬件和网络设备均可能被攻陷,而安全软件则是保护企业和消费者的最后一道防线。而且,恐怖分子和专业网络罪犯早晚会发现并利用这些应用于类似针对性攻击中的技术。这是一种很可能会发生的严重情况。”
对于如何应对此类攻击,尤金·卡巴斯基有着独到的见解:“让世界更加安全的唯一方法便是公开此类攻击事件。这样做有助于提高和改进企业基础设施的安全设计,并且向恶意软件开发者发出明确的信号,即所有的非法行为都会被制止,责任人将受到惩罚。唯有执法机关和安全企业公开携手对抗此类攻击,方能保护世界安全。因此,我们会公开任何攻击,不管其源自何处。”
根据卡巴斯基所掌握的情况判断,出于类似的地缘政治利益,Duqu 2.0还被用于攻击一些高层目标。为清除这一威胁,卡巴斯基实验室进行了初步安全审计和分析,通过Securelist公开发布了有关Duqu 2.0的所有技术详情,并且愿意向所有感兴趣/受此影响的组织提供帮助。目前,审计仍在进行中,并将于几周后完成。此外,卡巴斯基实验室已经联系了多个国家的网络安全组织部门,正式要求对这次攻击进行刑事调查。