本周四（11 月 16 日），卡巴斯基實驗室公布了關(guān)于 NSA 數(shù)據(jù)被盜事件的調(diào)查細節(jié)，力證自己并非是俄羅斯政府的間諜，只是有其他俄羅斯黑客利用了卡巴斯基的軟件去竊取 NSA 的數(shù)據(jù)。

自 6 月份遭遇美國當(dāng)局調(diào)查以來，卡巴斯基實驗室這幾個月可謂是深陷間諜的輿論中不可脫身。不過還好其常規(guī)業(yè)務(wù)似乎沒受什么影響，依舊持續(xù)為用戶提供產(chǎn)品，輸出業(yè)務(wù)報告：

卡巴斯基2017年第二季度IT威脅及演變

卡巴斯基2017第二季度APT趨勢分析報告

卡巴斯基實驗室《2017年Q2垃圾郵件與網(wǎng)絡(luò)釣魚分析報告》

深陷間諜風(fēng)波

10 月份，正當(dāng)國內(nèi)同胞開開心心享受國慶假日之時，華爾街日報發(fā)表文章聲稱俄羅斯安全公司卡巴斯基（Kaspersky Lab）和俄羅斯政府之間存在關(guān)聯(lián)，且給出了證據(jù)。報道表示，俄羅斯政府支持的黑客早在 2015 年竊取到 NSA 的高度機密文檔，且主要依靠了卡巴斯基的幫助。

其實，此前美國政府也多次宣稱卡巴斯基與俄羅斯政府有關(guān)系。6 月底，F(xiàn)BI 就對十幾名卡巴斯基實驗室總部的工作人員進行調(diào)查詢問。隨后，就有參議員表示卡巴斯基有可能在從事間諜活動，并向有關(guān)部門提議禁止使用卡巴斯基的產(chǎn)品。有匿名消息稱，一名 NSA 工程師將 NSA 的一部分網(wǎng)絡(luò)武器文件帶回家，在個人計算機上進行操作，由于該計算機上運行了卡巴斯基的產(chǎn)品，導(dǎo)致這些機密文件通過卡巴斯基產(chǎn)品而泄露給克林姆林宮。因此，外媒和美國政府都聲稱卡巴斯基與俄羅斯政府情報機構(gòu)有關(guān)聯(lián)。隨著事件的演變，美國國土安全部最終下令要求各政府機構(gòu)最晚在 12 月 12 日卸載卡巴斯基的軟件。

　　業(yè)務(wù)透明化，自證清白

面對危機，卡巴斯基 CEO 堅決否認(rèn)自己與俄羅斯政府有關(guān)，并采取了一系列措施重建信任：

6 月底就將產(chǎn)品源代碼提交給美國政府官員進行審查

10 月底發(fā)布“全透明計劃”，向第三方審查機構(gòu)公開反病毒軟件源代碼和內(nèi)部流程

10 月底發(fā)布報告揭露 NSA 數(shù)據(jù)泄露過程

11 月中旬（本周四）再次發(fā)布關(guān)于 NSA 數(shù)據(jù)被盜事件的詳細調(diào)查報告

在本周四發(fā)布的詳細調(diào)查報告中，卡巴斯基實驗室表示，當(dāng)初華爾街日報所披露的 NSA 數(shù)據(jù)泄露事件大致發(fā)生在 2014 年 9 月 11 日到 2014 年 11 月 17 日之間，并非是在 2015 年，華爾街日報似乎是把日期弄混了。當(dāng)時卡巴斯基檢測到某個惡意軟件，IP 地址指向 Maryland 的 Baltimore 地區(qū)，靠近美國國家安全局總部。后來才發(fā)現(xiàn)，這個惡意軟件的使用者是與 NSA 有關(guān)的 Equation Group（方程式組織）所使用的。

該惡意軟件所在的計算機中也裝載了卡巴斯基的殺毒軟件，因此包含惡意程序文件的存檔通過殺毒軟件發(fā)送回了卡巴斯基系統(tǒng)。經(jīng)分析，該存檔包含 Equation 組織所使用的惡意軟件源代碼以及四個分類明確的文檔（如機要、保密等），并為不同的工具命名（包括 Equation、Grayfish、Fanny、DoubleFantasy 和 Equestre 等）。

此前還有指控稱，卡巴斯基產(chǎn)品經(jīng)過專門配置，可以在產(chǎn)品所處系統(tǒng)中搜尋機密文檔。這份詳細報告中也對此給出了解釋：公司有經(jīng)驗豐富的開發(fā)人員仔細處理和驗證所有從用戶設(shè)備檢索文件的簽名；而且沒有證據(jù)表明有人在調(diào)查 Equation 惡意軟件期間為標(biāo)記為“秘密”的文件創(chuàng)建了簽名。

卡巴斯基也承認(rèn)，的確有分析員為名稱包含字符串“secret”的文件創(chuàng)建了一個簽名，但只是為了調(diào)查與 TeamSpy 間諜活動有關(guān)的惡意軟件。這個簽名包含該惡意軟件特有的路徑，以避免誤報。

一份檔案指向很多簽名，這屬于異常情況。因此我們決定深入研究系統(tǒng)警報，了解真相。在分析只有，我們發(fā)現(xiàn)，這個系統(tǒng)不僅包含了這份檔案，還包含很多相似和未知的文件，都可能與惡意軟件開發(fā)者有關(guān)。

因此，卡巴斯基才保留了這些記錄，以便對抗惡意軟件。

卡巴斯基分析員在發(fā)現(xiàn)這些檔案之后，立即通上報給了公司的 CEO，隨后接到指示將這些文件從存儲系統(tǒng)中刪除。因此，卡巴斯基表示，很有可能某個俄羅斯黑客組織從某些途徑獲取到這些分類的文件?？ò退够趫蟾嬷袌苑Q自己絕對沒有從事間諜活動，且已經(jīng)從系統(tǒng)中刪除了相關(guān)數(shù)據(jù)，最多有一些數(shù)值和元數(shù)據(jù)殘留。但是，他們也無法保證公司員工能妥善處理這些殘留的內(nèi)容。

我們無法評估這些殘留數(shù)據(jù)是否在員工手中得到了“妥善處理”，因為公司分析師此前沒有接受過訓(xùn)練，不知道如何正確處理美國的分類機密信息；何況他們也沒有義務(wù)去妥善處理。

此外，卡巴斯基還表示，盡管其系統(tǒng)曾在 2105 年遭遇與以色列情報機構(gòu)有關(guān)的黑客組織的入侵，但也沒有證據(jù)表明其系統(tǒng)中泄露了 NSA 的數(shù)據(jù)。

還有一種情況是，卡巴斯基殺毒軟件被禁用后，那位 NSA 員工的計算機感染了惡意軟件。詳情是：該 IP 相關(guān)的計算機被發(fā)現(xiàn)在 2014 年 10 月 4 日當(dāng)?shù)貢r間 23:38 感染了惡意程序，原因是計算機安裝了一個盜版的 MS Office 2013 程序，安裝鏡像“Office-2013-PPVL-x64-en-US-Oct2013.iso”包含了惡意程序。該員工為了使用已知的激活工具安裝盜版的 Microsoft Office ，關(guān)閉了殺毒軟件。等殺毒軟件重啟后，卡巴斯基在系統(tǒng)上檢測到了 121 個與 Equation 無關(guān)的惡意軟件。與 Office 激活工具相關(guān)的惡意軟件是自 2011 年以來就在在俄羅斯地下論壇上銷售的 Smoke Bot（又名 Smoke Loader）。數(shù)據(jù)泄露時，該惡意軟件正與位于中國的某個私人建立的服務(wù)器通信。也就是說，NSA 承包商的計算機是因為感染了當(dāng)時沒有被發(fā)現(xiàn)的惡意軟件，最終導(dǎo)致數(shù)據(jù)泄露。

卡巴斯基表示：

考慮到該系統(tǒng)所有者的潛在清除能力，該用戶很可能成為某些民族國家黑客的首要目標(biāo)。由于該用戶急切需要使用 Windows 和 Office 的破解版本，但自身安全措施不到位，對于機密分類的材料又處理不當(dāng)，因此很有可能這位員工自身是泄漏源，且已經(jīng)泄露給多個不同終端。

重建良好合作？道阻且長

自 7 月份美國總務(wù)管理局將卡巴斯基實驗室及其旗下的安全公司從供應(yīng)商名單中刪除以來，卡巴斯基就開始了漫長的自證清白之路。

從表面上來看，封殺卡巴斯基似乎是美國政府為了確保網(wǎng)絡(luò)安全而采取的所謂“合理”舉措，但深刻分析來看，由于當(dāng)初俄羅斯干預(yù)美國大選造成美俄關(guān)系持續(xù)緊張，包括卡巴斯基在內(nèi)的美國科技公司如果跟俄羅斯有業(yè)務(wù)關(guān)系，似乎多少都會受到此次美國禁用俄羅斯相關(guān)產(chǎn)品的影響。

卡巴斯基實驗室發(fā)言人曾表示：

沒有人或組織公開過可靠的證據(jù)，因為這些指控都是虛假指控和錯誤的假設(shè)，包括俄羅斯法律對公司的影響?？ò退够鶎嶒炇覐膩頉]有幫助過任何政府，也不會幫助世界上任何政府進行網(wǎng)絡(luò)攻擊，令人不安的是，僅僅由于地緣政治問題，一家私營公司就可以被認(rèn)定為有罪。

鑒于卡巴斯基在國際市場領(lǐng)先的地位和較高的市場份額，美國政府禁用的舉措一時之間似乎并未造成太大影響?？ò退够偨y(tǒng) CEO 尤金 卡巴斯基曾表示：“我猜好消息是對美國政府的銷售并不是公司在北美地區(qū)的主要業(yè)務(wù)組成部分。所以，盡管不幸，但我們?nèi)詫⒗^續(xù)關(guān)注和保護我們真正的客戶群、企業(yè)和消費者。”

這位 CEO 良好的心態(tài)大概也是卡巴斯基敢于公開產(chǎn)品源代碼進行審計的原因。至于真相到底如何，相信時間會給出答案。

當(dāng)我們談及網(wǎng)絡(luò)安全時，我們想看到的是各方聯(lián)動、信息共享，這樣才能帶來更快的響應(yīng)速度和更高的響應(yīng)效率。正如今年頻頻發(fā)生的 WannaCry、NotPetya、KRACK、BadRabbit 等安全事件中，各方的聯(lián)動合作才得到了較好的防御效果 。但實際上，網(wǎng)絡(luò)安全領(lǐng)域之間的國際合作基礎(chǔ)，似乎比較薄弱。而一旦信任崩塌，合作不再，那么個人、企業(yè)、乃至國家都可能遭受網(wǎng)絡(luò)攻擊的危害。

安全領(lǐng)域會走向巴爾干化嗎？我們不知道。只是安全產(chǎn)品和安全企業(yè)的“地緣政治斗爭”，一直都沒有停息。

卡巴斯基事件回顧：

卡巴斯基創(chuàng)始人否認(rèn)與俄羅斯政府有牽連，表示愿意提供源代碼供核查

外媒稱卡巴斯基和俄羅斯情報部門勾結(jié)

美政府宣布將禁用卡巴斯基產(chǎn)品

克林姆林宮回應(yīng)美政府機構(gòu)禁止使用卡巴斯基

卡巴斯基CEO：說我們和俄羅斯政府聯(lián)手竊取NSA機密信息，你們在拍C級片嗎？

重建信任第一步：卡巴斯基將向第三方審查機構(gòu)提供反病毒軟件源代碼

卡巴斯基揭秘 | NSA黑客工具是如何被泄露的？

了解更多詳情，可點擊這里閱讀報告原文。

感興趣的讀者還可以去瀏覽卡巴斯基 CEO 尤金 卡巴斯基的官方博客，可以說是相當(dāng)有趣的。

參考來源：

[1] http://www.securityweek.com/kaspersky-shares-more-details-nsa-incident

[2] https://www.theregister.co.uk/2017/11/16/kaspersky_nsa_staffers_pc_was_riddled_with_malware_from_pirated_code/