卡巴斯基揭秘神秘APT攻擊現(xiàn)形記

責(zé)任編輯:editor007

2015-06-12 22:53:01

摘自:CCTIME飛象網(wǎng)

全球領(lǐng)先的IT安全廠商——卡巴斯基實(shí)驗(yàn)室宣布,公司檢測(cè)出一種利用多達(dá)三種零日漏洞的最新惡意軟件平臺(tái)——Duqu2 0??ò退够鶎?shí)驗(yàn)室已經(jīng)聯(lián)系了多個(gè)國(guó)家的網(wǎng)絡(luò)安全組織部門(mén),正式要求對(duì)這次攻擊進(jìn)行刑事調(diào)查。

全球領(lǐng)先的IT安全廠商——卡巴斯基實(shí)驗(yàn)室宣布,公司檢測(cè)出一種利用多達(dá)三種零日漏洞的最新惡意軟件平臺(tái)——Duqu2.0。而該惡意軟件平臺(tái)是迄今為止發(fā)現(xiàn)的技術(shù)最先進(jìn)、最神秘同時(shí)也是最強(qiáng)大的高級(jí)可持續(xù)性威脅(APT)之一。Duqu2.0攻擊包括多個(gè)未曾發(fā)現(xiàn)的獨(dú)特功能,而且?guī)缀醪粫?huì)留下任何痕跡,致使其很難被檢出。盡管Duqu2.0攻擊組織的思維理念與方式遙遙領(lǐng)先于其他APT攻擊組織,卡巴斯基實(shí)驗(yàn)室所擁有的領(lǐng)先技術(shù)與頂級(jí)研究專(zhuān)家使公司成功發(fā)現(xiàn)了該攻擊組織。目前,卡巴斯基實(shí)驗(yàn)室的產(chǎn)品已將這種威脅檢測(cè)為HEUR:Trojan.Win32.Duqu2.gen,并且能夠高效保護(hù)企業(yè)與個(gè)人用戶(hù)免受Duqu 2.0侵?jǐn)_。

實(shí)際上,早在2015年初的一次測(cè)試中,卡巴斯基專(zhuān)家就發(fā)現(xiàn)了這一威脅。當(dāng)時(shí),公司正在開(kāi)發(fā)一款A(yù)PT防御解決方案。正是該方案的原型顯示出公司網(wǎng)絡(luò)遭遇復(fù)雜針對(duì)性攻擊的跡象。此后,卡巴斯基啟動(dòng)了內(nèi)部調(diào)查。由公司研究人員、逆向工程師和惡意軟件分析師組成的專(zhuān)業(yè)團(tuán)隊(duì)深入分析了這種獨(dú)特的攻擊,并最終發(fā)現(xiàn)了Duqu2.0。

卡巴斯基安全專(zhuān)家的分析顯示,這是一起精心策劃和實(shí)施的網(wǎng)絡(luò)間諜行動(dòng),其幕后黑手就是2011年臭名昭著的Duqu背后組織??ò退够J(rèn)為,該攻擊行動(dòng)受到了政府的支持。攻擊者的主要目的在于監(jiān)視卡巴斯基的技術(shù)、最新研究以及內(nèi)部流程。除了試圖盜竊公司的知識(shí)產(chǎn)權(quán)(包括卡巴斯基的安全操作系統(tǒng)、卡巴斯基反欺詐解決方案、卡巴斯基安全網(wǎng)絡(luò)和APT防御解決方案以及服務(wù))和高級(jí)針對(duì)性攻擊的近期研究數(shù)據(jù)外,此次攻擊并未出現(xiàn)其他惡意行為,因此不會(huì)對(duì)公司的產(chǎn)品、技術(shù)和服務(wù)造成影響。目前,卡巴斯基已采取有效措施確保公司用戶(hù)及其合作伙伴處于非常安全的狀態(tài),并且避免類(lèi)似的問(wèn)題再次發(fā)生。而通過(guò)獲取到的攻擊信息,卡巴基斯將進(jìn)一步提升其多款產(chǎn)品的性能。

然而,卡巴斯基并非這種強(qiáng)大的網(wǎng)絡(luò)攻擊的唯一目標(biāo)??ò退够芯繉?zhuān)家還在西方國(guó)家、中東和亞洲地區(qū)發(fā)現(xiàn)了其他受害者。尤其值得注意的是,發(fā)生于2014至2015年的一些最新感染同P5+1(伊朗核問(wèn)題六方會(huì)談)會(huì)議及其地點(diǎn)有關(guān)。Duqu幕后的攻擊者似乎在會(huì)議地點(diǎn)發(fā)起了攻擊。除了P5+1會(huì)談,攻擊者還針對(duì)紀(jì)念?yuàn)W斯維辛集中營(yíng)解放70周年相關(guān)儀式和會(huì)議發(fā)動(dòng)了類(lèi)似的攻擊。該活動(dòng)的與會(huì)者多為外國(guó)政府高官和要員。

在談及這一重大發(fā)現(xiàn)時(shí),卡巴斯基實(shí)驗(yàn)室CEO尤金·卡巴斯基表示:“監(jiān)視網(wǎng)絡(luò)安全公司是一件非常危險(xiǎn)的事情。當(dāng)今世界,硬件和網(wǎng)絡(luò)設(shè)備均可能被攻陷,而安全軟件則是保護(hù)企業(yè)和消費(fèi)者的最后一道防線。而且,恐怖分子和專(zhuān)業(yè)網(wǎng)絡(luò)罪犯早晚會(huì)發(fā)現(xiàn)并利用這些應(yīng)用于類(lèi)似針對(duì)性攻擊中的技術(shù)。這是一種很可能會(huì)發(fā)生的嚴(yán)重情況。”

對(duì)于如何應(yīng)對(duì)此類(lèi)攻擊,尤金·卡巴斯基有著獨(dú)到的見(jiàn)解:“讓世界更加安全的唯一方法便是公開(kāi)此類(lèi)攻擊事件。這樣做有助于提高和改進(jìn)企業(yè)基礎(chǔ)設(shè)施的安全設(shè)計(jì),并且向惡意軟件開(kāi)發(fā)者發(fā)出明確的信號(hào),即所有的非法行為都會(huì)被制止,責(zé)任人將受到懲罰。唯有執(zhí)法機(jī)關(guān)和安全企業(yè)公開(kāi)攜手對(duì)抗此類(lèi)攻擊,方能保護(hù)世界安全。因此,我們會(huì)公開(kāi)任何攻擊,不管其源自何處。”

根據(jù)卡巴斯基所掌握的情況判斷,出于類(lèi)似的地緣政治利益,Duqu2.0還被用于攻擊一些高層目標(biāo)。為清除這一威脅,卡巴斯基實(shí)驗(yàn)室進(jìn)行了初步安全審計(jì)和分析,通過(guò)Securelist公開(kāi)發(fā)布了有關(guān)Duqu2.0的所有技術(shù)詳情,并且愿意向所有感興趣/受此影響的組織提供幫助。目前,審計(jì)仍在進(jìn)行中,并將于幾周后完成。此外,卡巴斯基實(shí)驗(yàn)室已經(jīng)聯(lián)系了多個(gè)國(guó)家的網(wǎng)絡(luò)安全組織部門(mén),正式要求對(duì)這次攻擊進(jìn)行刑事調(diào)查。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)