卡巴斯基揭秘神秘APT攻擊現形記

■王蕊

卡巴斯基揭秘神秘APT攻擊現形記

■王蕊

近日，卡巴斯基實驗室宣布，公司檢測出一種利用多達三種零日漏洞的最新惡意軟件平臺——Duqu 2.0。而該惡意軟件平臺是迄今為止發現的技術最先進、最神秘同時也是最強大的高級可持續性威脅（APT）之一。Duqu 2.0攻擊包括多個未曾發現的獨特功能，而且幾乎不會留下任何痕跡，致使其很難被檢出。盡管Duqu 2.0攻擊組織的思維理念與方式遙遙領先于其他APT攻擊組織，卡巴斯基實驗室所擁有的領先技術與頂級研究專家使公司成功發現了該攻擊組織。目前，卡巴斯基實驗室的產品已將這種威脅檢測為HEUR：Trojan.Win32. Duqu2.gen，并且能夠高效保護企業與個人用戶免受Duqu 2.0侵擾。

實際上，早在2015年初的一次測試中，卡巴斯基專家就發現了這一威脅。當時，公司正在開發一款APT防御解決方案。正是該方案的原型顯示出公司網絡遭遇復雜針對性攻擊的跡象。此后，卡巴斯基啟動了內部調查。由公司研究人員、逆向工程師和惡意軟件分析師組成的專業團隊深入分析了這種獨特的攻擊，并最終發現了Duqu 2.0。

卡巴斯基安全專家的分析顯示，這是一起精心策劃和實施的網絡間諜行動，其幕后黑手就是2011年臭名昭著的Duqu背后組織。卡巴斯基認為，該攻擊行動受到了政府的支持。攻擊者的主要目的在于監視卡巴斯基的技術、最新研究以及內部流程。除了試圖盜竊公司的知識產權（包括卡巴斯基的安全操作系統、卡巴斯基反欺詐解決方案、卡巴斯基安全網絡和APT防御解決方案以及服務）和高級針對性攻擊的近期研究數據外，此次攻擊并未出現其他惡意行為，因此不會對公司的產品、技術和服務造成影響。目前，卡巴斯基已采取有效措施確保公司用戶及其合作伙伴處于非常安全的狀態，并且避免類似的問題再次發生。而通過獲取到的攻擊信息，卡巴基斯將進一步提升其多款產品的性能。

然而，卡巴斯基并非這種強大的網絡攻擊的唯一目標。卡巴斯基研究專家還在西方國家、中東和亞洲地區發現了其他受害者。尤其值得注意的是，發生于2014至2015年的一些最新感染同P5+1（伊朗核問題六方會談）會議及其地點有關。Duqu幕后的攻擊者似乎在會議地點發起了攻擊。除了P5+1會談，攻擊者還針對紀念奧斯維辛集中營解放70周年相關儀式和會議發動了類似的攻擊。該活動的與會者多為外國政府高官和要員。

在談及這一重大發現時，卡巴斯基實驗室CEO尤金·卡巴斯基表示：“監視網絡安全公司是一件非常危險的事情。當今世界，硬件和網絡設備均可能被攻陷，而安全軟件則是保護企業和消費者的最后一道防線。而且，恐怖分子和專業網絡罪犯早晚會發現并利用這些應用于類似針對性攻擊中的技術。這是一種很可能會發生的嚴重情況。”

對于如何應對此類攻擊，尤金·卡巴斯基有著獨到的見解：“讓世界更加安全的唯一方法便是公開此類攻擊事件。這樣做有助于提高和改進企業基礎設施的安全設計，并且向惡意軟件開發者發出明確的信號，即所有的非法行為都會被制止，責任人將受到懲罰。唯有執法機關和安全企業公開攜手對抗此類攻擊，方能保護世界安全。因此，我們會公開任何攻擊，不管其源自何處。”

根據卡巴斯基所掌握的情況判斷，出于類似的地緣政治利益，Duqu 2.0還被用于攻擊一些高層目標。為清除這一威脅，卡巴斯基實驗室進行了初步安全審計和分析，通過Securelist公開發布了有關Duqu 2.0的所有技術詳情，并且愿意向所有感興趣/受此影響的組織提供幫助。目前，審計仍在進行中，并將于幾周后完成。此外，卡巴斯基實驗室已經聯系了多個國家的網絡安全組織部門，正式要求對這次攻擊進行刑事調查。