卡巴斯基遭遇APT攻击 隐藏数月未被发现
作者:星期四, 六月 11, 20150

作为全世界领先的安全公司卡巴斯基,经常会披露它发现的各大机构被攻击的安全事件,但现在可以谈谈自己了。

1

尤金·卡巴斯基把这个APT恶意程序称之为Duqu 2.0,因为它与2011年发现的背后有国家支持的恶意软件Duqu有关。Duqu最早出现在2011年9月,是继震网蠕虫后最受关注的恶意程序之一,大多数Duqu出现在工控系统中。在本周二的网络新闻发布会上,卡巴斯基仔细地解释了这个恶意软件。除了攻击卡巴斯基的网络以外,Duqu还攻击了新近P5+1的伊朗核武器谈判。因此,这个恶意软件背后的国家有可能是以色列。

Duqu2.0利用了三个微软的零日漏洞,微软在本周二刚刚发布这些漏洞的补丁。

“攻击非常之高端复杂,这是一种新一代的很可能为国家支持的恶意软件。如果用好莱坞电影来比喻,它就是一种外星人、终结者和铁血战士的混合体。”

Duqu2.0非常难以检测,它不会建立任何on-desk文件,也不会生成注册表目录,它是一种基于内存的应用程序。“通过假扮成系统管理员升级网络软件以在网络中传播。”

卡巴斯基承认在发现之前,Duqu2.0已经在他公司的网络中潜伏了数月的时间。他表示,研究人员已经对这个程序进行了深度的检测,相信没有任何卡巴斯基的用户或合作伙伴的信息受到危害。攻击者只是在寻找卡巴斯基病毒研究方面的信息,以及如何发现和处理恶意软件的技术。

至于如何发现Duqu2.0的,卡巴斯基一个字都没有提。“攻击网络安全公司是愚蠢的行为,我们尽早会发现的。我们有新的检测技术,对付APT的工具,还有在互联网上找到恶意软件的高超技术,只不过这次是在本公司找到的。”

而卡巴斯基之所以要把这起针对自己公司的攻击事件披露出来,是因为互联网是一个整体,要保护它就需要信息共享。

“通常上来讲,企业都不愿意披露这样的事情,因为可能会导致名誉上的损害,但我们决定不这样去做。我们想展示正确的行为,因为要想对抗网络攻击,企业必须透明,一味沉默的话就会被一个接一个的干掉。”

卡巴斯基表示,正因为Duqu2.0的攻击,卡巴斯基实验室现在更加聪明并比之前更加具备检测威胁和保护客户的能力。但令人担心的是,Duqu2.0最终会从国家支持的黑客那里流入到犯罪分子手中,从而带来更普遍的威胁。

“我担心这次攻击的下一步就是网络恐怖主义。”

(Duqu2.0技术细节报告下载地址)

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!