【編者按】卡巴斯基實(shí)驗(yàn)室被Duqu 2.0攻陷后許多安全界人士對代碼和0Day進(jìn)行了深入分析，但目前還有很多不清楚的地方，除了卡巴斯基之外還有別的受害者嗎？使用的是哪種0Day攻擊？攻擊者到底做了什么？在一篇外電中我們看到了一些資料。

以下是譯文：

前幾天，卡巴斯基實(shí)驗(yàn)室被Duqu 2.0攻陷的消息傳出來后，盡管安全廠商對Duqu 2.0的代碼和對攻擊者采用的0Day攻擊進(jìn)行了深入分析，目前仍有許多未解之謎。

先不說這事兒是誰干的，所有人的研究都僅限于把攻擊來源確定為以色列，除此之外，還有很多方面我們還不知道：

除了卡巴斯基實(shí)驗(yàn)室以外還有別的被黑的安全公司嗎?

Symantec，F(xiàn)ireEye，Trend Micro都表示沒有受到Duqu 2.0的攻擊，其它的廠商也沒有報告Duqu的信息。但我們了解到Duqu 2.0是在內(nèi)存中的病毒，電腦一旦重啟就會消失，入侵者可以輕松消除痕跡，所以，很難說誰沒被黑過。

尤金·卡巴斯基說，我們在這件事上花了好幾個月的時間，當(dāng)初意識到一些奇怪的東西后，就開始展開調(diào)查尋求突破口。

卡巴斯基實(shí)驗(yàn)室首席安全研究員庫爾特鮑姆加特納發(fā)布了被入侵的一些指標(biāo)，并表示受害者肯定遠(yuǎn)遠(yuǎn)不止卡巴這一家。攻擊的范圍很廣，攻擊的目標(biāo)很多，可能有100個。就目前所知，Duqu 2.0曾被用于對最復(fù)雜、難度等級最高的目標(biāo)進(jìn)行攻擊，包括地緣政績利益。

在第一次攻擊卡巴斯基實(shí)驗(yàn)室的時候使用的是哪種0Day攻擊?

卡巴斯基實(shí)驗(yàn)室在Duqu 2.0攻擊中識別出了兩到三種0Day手法，目前正在調(diào)查攻擊者利用了哪些漏洞來對最初的受害者下手的，亞太區(qū)的一位員工認(rèn)為是通過魚叉式釣魚攻擊來進(jìn)行的。

鮑姆加特納(Baumgartner)表示對方利用的可能是CVE-2014-4148，對方可以通過一個Word文檔接觸到內(nèi)核。但是目前尚沒有確認(rèn)具體的第一次攻擊是如何實(shí)施的。

賽門鐵克也沒有什么進(jìn)展。“問題是，我們還不知道Duqu 2.0感染的載體到底是什么!”，賽門鐵克安全響應(yīng)中心高級經(jīng)理維克拉姆·塔庫爾說。 “我們還在調(diào)查這次事件的具體細(xì)節(jié)。”

攻擊者到底做了什么？

尤金卡巴斯基表示，他們還不確定Duqu 2.0的攻擊者到底訪問了公司的那些信息。“我們還不知道他們究竟想找什么”。

塔庫爾表示Duqu 2.0最厲害的地方在于他侵入和掩埋痕跡的能力。“它沒有在你的電腦上留下任何文件，重啟之后什么都沒了”。“這些攻擊者有目的的這么做，這樣他們還可以隨意偷取他想要的東西，一關(guān)機(jī)，啥都沒了。”

塔庫爾表示他們的團(tuán)隊(duì)還在分析惡意軟件的模塊，他們也還不知道到底攻擊者是如何秘密盜取數(shù)據(jù)(exfiltrated)的。

也有安全專家表示，主要還是因?yàn)樗麄儾恢赖降啄切┬畔⒈桓`取了，所以他們無法準(zhǔn)確的找到到底哪些數(shù)據(jù)和系統(tǒng)被接觸過。

Bay Dynamics的首席營銷官Gautam Aggarwal認(rèn)為，這些攻擊者的目的是在搜尋卡巴斯基Secure OS和Anti-APT產(chǎn)品的漏洞。Duqu 2.0攻擊是一個內(nèi)存(in-memory)攻擊，他不會增刪改任何硬盤上的文件或者系統(tǒng)設(shè)置，這才讓卡巴斯基的調(diào)查舉步維艱。如果他們一旦找到卡巴斯基產(chǎn)品的一些漏洞，入侵使用他們產(chǎn)品和解決方案的客戶就是輕而易舉的事兒了。

卡巴斯基實(shí)驗(yàn)室調(diào)查過2011年那次Duqu木馬攻擊，這次攻擊非常有針對性，他說。這讓人感覺APT攻擊小組是把卡巴斯基實(shí)驗(yàn)室作為Duqu 2.0攻擊的一個支點(diǎn)，它可以破壞其內(nèi)部的防御，然后達(dá)到某種目的。

直覺告訴我們，卡巴斯基這事兒只是個開始，陸續(xù)我們還會看到更多這樣的事兒。

神秘模塊里的ICS/SCADA線索有什么含義?

卡巴斯基實(shí)驗(yàn)室全球研究和分析團(tuán)隊(duì)總監(jiān)Costin Raiu發(fā)布了一條推特，發(fā)圖片截屏了Duqu 2.0模塊的一個文件名，說：“有誰認(rèn)識Duqu2 模塊訪問的這些文件名和路徑嗎?來說說”

研究人員在研究這些樣本的時候在文件名中發(fā)現(xiàn)了“HMI”一詞，指向ICS / SCADA系統(tǒng)的鏈接。HMI(human-machine interface)指的是工業(yè)產(chǎn)品領(lǐng)域的人機(jī)界面。