卡巴斯基CEO尤金谈美国政府封杀卡巴斯基的原因-卡巴斯基授权文件

E安全12月8日讯 卡巴斯基首席执行官尤金·卡巴斯基上个月在伦敦一个小型活动上发表公开言论表示,卡巴斯基因研究一起针对俄罗斯、伊朗和卢旺达的复杂国际网络间谍行动而遭到美国政府封杀。

卡巴斯基CEO尤金谈美国政府封杀卡巴斯基的原因

尤金表示,卡巴斯基发现与美国情报机构有关的黑客行动,包括为NSA效力的“方程式组织”和与CIA有关联的“Lamberts”。他特别提到 “索伦项目”(Project Sauron,又被称为Strider)是卡巴斯基遭封杀的推动因素。他还暗示,这起活动与美国有关。

研究人员称,“索伦”主要攻击军事和政府机构,受害者者遍布全球的组织机构,包括比利时大使馆、中国一家航空公司和多家互联网服务提供商。已知的受害者不到40个,可见该组织具有一定的针对性。

美媒报道称,根据公开的研究结果,目前尚无法判定Sauron是否与美国情报机构有关联。尤金称自己是根据其他专家的观点与美国有关的结论。

卡巴斯基CEO尤金谈美国政府封杀卡巴斯基的原因

尤金·卡巴斯基在活动上展示的PPT部分内容

“索伦”的幕后黑手扑朔迷离

美国网络安全公司赛门铁克威胁研究技术总监维克兰姆·萨库尔表示,这类先进的威胁很常见,研究人员从一开始就判定,其背后的攻击者并非受金钱驱使,或试图窃取知识产权,他们是为了情报而行动。

赛门铁克表示,至少在一起已知事件中,研究人员在 “Regin”恶意软件感染的目标上发现“索伦项目”的证据。根据NSA泄密者斯诺登泄露的文件,Regin是“五眼联盟”(美国、英国、加拿大、澳大利亚和新西兰)的间谍机构使用的恶意软件。

两名前美国情报官员表示,“索伦项目”不是美国情报机构的杰作,而是联盟国的项目,但他们拒绝透露更多细节。

自从去年8月发布报告以来,卡巴斯基和赛门铁克均未捕捉到“索伦”的活动,这支黑客组织似乎一夜之间就消失得无影无踪。

各执一词

美媒报道称,实际上,“索伦行动”在很大程度上与一款隐秘的恶意软件“Remsec”变种存在关联。

研究人员注意到Remsec似乎带有模块化设计,意味着这款恶意软件可能是更大型利用框架(包含各种入侵能力或模块)的组成部分。维克兰姆·萨库尔称,Remsec与99恶意软件不同,架构和复杂程度可圈可点。

卡巴斯基实验室发现,Remsec其中一个模块允许搜索被感染电脑上的特定文件和文档。搜索条件被设置为查找标记为“机密”(Secret)和意大利语“Segreto”的资料。这款恶意软件还标记了其它关键词,包括“代码”(code)和“用户代码”(usercode)。据《纽约时报》报告,此功能与卡巴斯基实验室的软件相似。据一位不愿透露姓名的美国情报官员表示,卡巴斯基实验室的反病毒引擎有一度在搜索美国的机密文件。也有媒体报道称,这个关键词搜索计划是卡巴斯基实验室引争议的主要原因。

Remsec另一个罕见的组件允许窃取隔离网络的信息。卡巴斯基研究先前曾指出,这个特殊的模块旨在将数据从隔离网络移至联网系统。一旦攻破联网系统,攻击者会等待机会将U盘连接到被感染设备上。

虽然“方程式组织”与“索伦”背后的组织似乎由讲英语的操作人员组成,但却鲜有证据能将索伦与其它任何实体关联起来。

维克兰姆·萨库尔表示,缺乏足够的证据将“索伦”的幕后黑手与Flame、Duqu、Equation或任何其它类似行动关联起来。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考。

推荐阅读