卡巴斯基遭黑客攻击 攻击者与震网病毒有关
6月11日下午消息,俄罗斯卡巴斯基实验室的研究人员新发现一起由国家发动的黑客攻击事件,此次攻击与此前发动“震网”(Stuxnet)和“Duqu”攻击的黑客组织有关。在这起事件中,黑客攻入了卡巴斯基自身的网络。
卡巴斯基表示,在去年的某段时间里,黑客渗透至该公司的网络中,试图获取卡巴斯基调查此前黑客攻击事件的信息。此外,黑客也希望了解,卡巴斯基的病毒探测软件如何工作,以便对恶意软件进行升级,避开卡巴斯基软件的探测。在近期测试一款新产品时,卡巴斯基发现了这些黑客活动。这一新产品用于探测黑客发动了什么样的攻击。
卡巴斯基认为,发动此次攻击的黑客与2011年开发间谍软件Duqu的黑客来自同一组织。Duqu被用于攻击匈牙利一家认证机构,以及伊朗和苏丹的目标。Duqu与破坏了伊朗核设施的武器级病毒“震网”有很多类似之处。这一黑客组织2012年还曾设计过两款间谍工具,并被卡巴斯基所发现,分别Flame和Gauss。
卡巴斯基此次遭到的攻击与2011年时的Duqu攻击有相似之处,例如有着同一算法以及大量相同的代码。不过,最初的Duqu只包含6个模块,而被卡巴斯基称作“Duqu 2.0”的恶意软件是一个大小达到19MB的工具包,能采用多种方式进行攻击。这些恶意软件运行在被感染计算机的内存中,而不会保存在硬盘上,从而绕开病毒探测工具。此外,黑客在发动此次攻击时至少利用了3个“零日”漏洞,并通过一种巧妙的方式远程获取数据,与被感染的计算机通信。
卡巴斯基全球研究及分析团队负责人克斯汀·拉伊乌(Costin Raiu)表示:“这是我们见过最出色的攻击平台。这一平台的开发非常强大,几乎没有任何错误。“
卡巴斯基目前仍在试图确定,黑客获取了多少数据。与2011年的Duqu攻击类似,黑客将窃取的数据嵌入至空白图片文件中并导出,这导致卡巴斯基很难估计有多少信息失窃。不过拉伊乌表示,目前看来,黑客并未通过卡巴斯基的网络或产品感染该公司的用户。卡巴斯基在全球范围内拥有超过4亿用户。
卡巴斯基并不是Duqu 2.0攻击的唯一受害者。根据该公司获得的数据,还有一些酒店和会议中心遭到了攻击。过去一年中,联合国安理会成员曾前往这些酒店或会议中心,就伊朗核 项目 进行谈判。Duqu背后的黑客一直对伊朗核项目很感兴趣。
有报道称,美国和以色列是震网病毒的幕后操纵者,而一些研究人员怀疑,Duqu病毒的幕后仅仅只是以色列。以色列被排除在了伊朗核项目的谈判之外,而Duqu对于这一谈判极为感兴趣,因此这样的怀疑也有依据。
赛门铁克已从卡巴斯基处获得了Duqu 2.0的样本,并在该公司的客户中发现了更多受害者。赛门铁克发现,一些受害者位于美国。因此如果攻击的发动者是美国政府,那么将引起更大的争议。