卡巴斯基揭秘神秘APT攻擊現(xiàn)形記

■王蕊

卡巴斯基揭秘神秘APT攻擊現(xiàn)形記

■王蕊

近日，卡巴斯基實驗室宣布，公司檢測出一種利用多達三種零日漏洞的最新惡意軟件平臺——Duqu 2.0。而該惡意軟件平臺是迄今為止發(fā)現(xiàn)的技術(shù)最先進、最神秘同時也是最強大的高級可持續(xù)性威脅（APT）之一。Duqu 2.0攻擊包括多個未曾發(fā)現(xiàn)的獨特功能，而且?guī)缀醪粫粝氯魏魏圹E，致使其很難被檢出。盡管Duqu 2.0攻擊組織的思維理念與方式遙遙領(lǐng)先于其他APT攻擊組織，卡巴斯基實驗室所擁有的領(lǐng)先技術(shù)與頂級研究專家使公司成功發(fā)現(xiàn)了該攻擊組織。目前，卡巴斯基實驗室的產(chǎn)品已將這種威脅檢測為HEUR：Trojan.Win32. Duqu2.gen，并且能夠高效保護企業(yè)與個人用戶免受Duqu 2.0侵?jǐn)_。

實際上，早在2015年初的一次測試中，卡巴斯基專家就發(fā)現(xiàn)了這一威脅。當(dāng)時，公司正在開發(fā)一款A(yù)PT防御解決方案。正是該方案的原型顯示出公司網(wǎng)絡(luò)遭遇復(fù)雜針對性攻擊的跡象。此后，卡巴斯基啟動了內(nèi)部調(diào)查。由公司研究人員、逆向工程師和惡意軟件分析師組成的專業(yè)團隊深入分析了這種獨特的攻擊，并最終發(fā)現(xiàn)了Duqu 2.0。

卡巴斯基安全專家的分析顯示，這是一起精心策劃和實施的網(wǎng)絡(luò)間諜行動，其幕后黑手就是2011年臭名昭著的Duqu背后組織?？ò退够J(rèn)為，該攻擊行動受到了政府的支持。攻擊者的主要目的在于監(jiān)視卡巴斯基的技術(shù)、最新研究以及內(nèi)部流程。除了試圖盜竊公司的知識產(chǎn)權(quán)（包括卡巴斯基的安全操作系統(tǒng)、卡巴斯基反欺詐解決方案、卡巴斯基安全網(wǎng)絡(luò)和APT防御解決方案以及服務(wù)）和高級針對性攻擊的近期研究數(shù)據(jù)外，此次攻擊并未出現(xiàn)其他惡意行為，因此不會對公司的產(chǎn)品、技術(shù)和服務(wù)造成影響。目前，卡巴斯基已采取有效措施確保公司用戶及其合作伙伴處于非常安全的狀態(tài)，并且避免類似的問題再次發(fā)生。而通過獲取到的攻擊信息，卡巴基斯將進一步提升其多款產(chǎn)品的性能。

然而，卡巴斯基并非這種強大的網(wǎng)絡(luò)攻擊的唯一目標(biāo)?？ò退够芯繉＜疫€在西方國家、中東和亞洲地區(qū)發(fā)現(xiàn)了其他受害者。尤其值得注意的是，發(fā)生于2014至2015年的一些最新感染同P5+1（伊朗核問題六方會談）會議及其地點有關(guān)。Duqu幕后的攻擊者似乎在會議地點發(fā)起了攻擊。除了P5+1會談，攻擊者還針對紀(jì)念奧斯維辛集中營解放70周年相關(guān)儀式和會議發(fā)動了類似的攻擊。該活動的與會者多為外國政府高官和要員。

在談及這一重大發(fā)現(xiàn)時，卡巴斯基實驗室CEO尤金·卡巴斯基表示：“監(jiān)視網(wǎng)絡(luò)安全公司是一件非常危險的事情。當(dāng)今世界，硬件和網(wǎng)絡(luò)設(shè)備均可能被攻陷，而安全軟件則是保護企業(yè)和消費者的最后一道防線。而且，恐怖分子和專業(yè)網(wǎng)絡(luò)罪犯早晚會發(fā)現(xiàn)并利用這些應(yīng)用于類似針對性攻擊中的技術(shù)。這是一種很可能會發(fā)生的嚴(yán)重情況?！?/p>

對于如何應(yīng)對此類攻擊，尤金·卡巴斯基有著獨到的見解：“讓世界更加安全的唯一方法便是公開此類攻擊事件。這樣做有助于提高和改進企業(yè)基礎(chǔ)設(shè)施的安全設(shè)計，并且向惡意軟件開發(fā)者發(fā)出明確的信號，即所有的非法行為都會被制止，責(zé)任人將受到懲罰。唯有執(zhí)法機關(guān)和安全企業(yè)公開攜手對抗此類攻擊，方能保護世界安全。因此，我們會公開任何攻擊，不管其源自何處?！?/p>

根據(jù)卡巴斯基所掌握的情況判斷，出于類似的地緣政治利益，Duqu 2.0還被用于攻擊一些高層目標(biāo)。為清除這一威脅，卡巴斯基實驗室進行了初步安全審計和分析，通過Securelist公開發(fā)布了有關(guān)Duqu 2.0的所有技術(shù)詳情，并且愿意向所有感興趣/受此影響的組織提供幫助。目前，審計仍在進行中，并將于幾周后完成。此外，卡巴斯基實驗室已經(jīng)聯(lián)系了多個國家的網(wǎng)絡(luò)安全組織部門，正式要求對這次攻擊進行刑事調(diào)查。