對(duì)于卡巴斯基實(shí)驗(yàn)室來說，站出來承認(rèn)自己也淪為了黑客活動(dòng)的受害者肯定是需要很大勇氣的。正如該公司創(chuàng)始人尤金·卡巴斯基表示此次“復(fù)雜且經(jīng)過精心策劃的攻擊侵襲了我們的網(wǎng)絡(luò)，這很可能是一次由政府下屬組織籌劃的愚蠢的行動(dòng)”。

有鑒于此，我們似乎應(yīng)該把微軟公司于昨天發(fā)布的權(quán)限補(bǔ)丁MS15-61的標(biāo)簽從“重要”修改為“高危”，因?yàn)樗龑儆贒uqu 2.0攻擊者所利用的零日漏洞。卡巴斯基實(shí)驗(yàn)室將問題報(bào)告給了微軟方面，并決定在利用該補(bǔ)丁解決漏洞之前向公眾解釋惡意人士是如何利用它完成此次攻擊活動(dòng)的。

對(duì)于卡巴斯基來說，站出來承認(rèn)自己也淪為了黑客活動(dòng)的受害者肯定是需要很大勇氣的，不過我們需要以開誠布公地方式分享這些與Duqu、Flame乃至Gauss等攻擊活動(dòng)相關(guān)的信息，因?yàn)镈uqu攻擊者實(shí)際來自Stuxnet。而正是同一撥攻擊者這次又利用Duqu 2.0攻陷了卡巴斯基公司。

尤金·卡巴斯基指出，此次“復(fù)雜且經(jīng)過精心策劃的攻擊侵襲了我們的網(wǎng)絡(luò)，這很可能是一次由政府下屬組織籌劃的愚蠢的行動(dòng)”。他同時(shí)寫道：

被用于實(shí)施此次攻擊的惡意軟件極具創(chuàng)新性與先進(jìn)性。舉例來說，它會(huì)駐留在內(nèi)存——也就是計(jì)算機(jī)的臨時(shí)性記憶體當(dāng)中，同時(shí)盡可能避免對(duì)磁盤驅(qū)動(dòng)器中的數(shù)據(jù)作出修改。它所采取的“駐留機(jī)制”(更準(zhǔn)確地講，應(yīng)該稱為‘不在場機(jī)制’)非常巧妙。很明顯這套攻擊方案是由一部分技術(shù)人員認(rèn)真設(shè)計(jì)出來，再由這些聰明而又邪惡的頭腦耗費(fèi)大量時(shí)間與精力開發(fā)而成，這意味著整個(gè)產(chǎn)生周期需要投入數(shù)百萬美元巨資。攻擊者們很可能認(rèn)為，Duqu 2.0惡意軟件根本無法被檢測出來。雖然我一直都為卡巴斯基內(nèi)部人員的技術(shù)水平及技術(shù)成果而自豪，但此次消息的出現(xiàn)無疑進(jìn)一步增強(qiáng)了這種自信心。當(dāng)前的事態(tài)證明了一點(diǎn)：攻擊我們只會(huì)導(dǎo)致一種結(jié)果：惡意人士會(huì)被抓個(gè)現(xiàn)形——無論你們有多么聰明。除此之外，我們的初步調(diào)查也顯示，對(duì)方并沒能竊取到多少成果數(shù)據(jù)。

雖然此次攻擊者的目標(biāo)是設(shè)法訪問到與卡巴斯基實(shí)驗(yàn)室“研發(fā)及新技術(shù)”相關(guān)的數(shù)據(jù)——這意味著此次攻擊很可能屬于間諜活動(dòng)——但公司運(yùn)營并未受到破壞，而且Duqu 2.0攻擊并沒有威脅到卡巴斯基公司的客戶與合作伙伴，卡巴斯基指出。

不過這些惡意間諜也摸清了卡巴斯基公司所采取的調(diào)查檢測方法與分析能力。“由于我們?cè)趯?duì)抗高復(fù)雜度安全威脅方面一直負(fù)有盛名，他們希望掌握這些信息來保證自己躲在搜索范圍之外。但這根本不可能，”卡巴斯基在卡巴斯基實(shí)驗(yàn)室的官方博客當(dāng)中寫道。而且如果偵測反應(yīng)能力才是這幫攻擊者的真正意圖，那么“訪問亦需要在許可協(xié)議之下進(jìn)行(至少其中一部分是如此)!”

此次攻擊的發(fā)生時(shí)間恰好是在卡巴斯基實(shí)驗(yàn)室在其安全分析師峰會(huì)上公布對(duì)“Equation Group”黑客組織進(jìn)行廣泛研究得出的結(jié)論之后。雖然卡巴斯基方面已經(jīng)不再將矛頭指向美國國家安全局，但證據(jù)顯示的結(jié)論卻確鑿無誤。這一次的攻擊活動(dòng)顯然屬于立足于Stuxnet進(jìn)行的由國家支持的惡意軟件使用情況。

這款惡意軟件確實(shí)相當(dāng)可怕，不過卡巴斯基實(shí)驗(yàn)室在博文中提醒攻擊者稱，“住在玻璃房子里的人最好不要亂扔石頭。”

從政府角度對(duì)IT安全企業(yè)進(jìn)行攻擊簡直無恥至極。我們應(yīng)當(dāng)與國家及作為其代表的政府站在同一陣線之上，共同實(shí)現(xiàn)網(wǎng)絡(luò)世界的安全與保護(hù)目標(biāo)。我們彼此共享知識(shí)以對(duì)抗網(wǎng)絡(luò)犯罪活動(dòng)，并通過協(xié)調(diào)提高安全問題的調(diào)查效率。我們攜手共進(jìn)才能將網(wǎng)絡(luò)世界打造成更美好的精神居所。但現(xiàn)在我們發(fā)現(xiàn)“社區(qū)”中的一些成員存在著有違法律、職業(yè)道德或者說常識(shí)的舉動(dòng)。

對(duì)我個(gè)人來說，這是一個(gè)明確的信號(hào)，意味著我們需要通過全球所公認(rèn)的游戲規(guī)則來遏制數(shù)字化間諜活動(dòng)并預(yù)防網(wǎng)絡(luò)戰(zhàn)爭的發(fā)生。如果各種陰暗的團(tuán)體——通常都與政府方面有著千絲萬縷的聯(lián)系——把互聯(lián)網(wǎng)當(dāng)成是如同當(dāng)初缺乏監(jiān)管的狂野西部一樣的肆虐環(huán)境，那么這種缺乏秩序的橫行無忌將把信息技術(shù)的全球可持續(xù)發(fā)展趨勢引入嚴(yán)重的危機(jī)當(dāng)中。所以我再次呼吁所有對(duì)此負(fù)有責(zé)任的國家團(tuán)結(jié)在一起，共同制定并遵循規(guī)則，同時(shí)打擊網(wǎng)絡(luò)犯罪與惡意軟件——而非為其造勢甚至推波助瀾。

“在攻擊卡巴斯基實(shí)驗(yàn)室的過程中，Duqu攻擊者們很可能自以為這場侵襲不會(huì)被發(fā)現(xiàn)，但他們失敗了，”Duqu 2.0技術(shù)論文作出了這樣的總結(jié)。“對(duì)于一家安全廠商來說，最困難的任務(wù)之一就是承認(rèn)自身已經(jīng)淪為了惡意軟件攻擊的犧牲品。但在卡巴斯基實(shí)驗(yàn)室，我們堅(jiān)信信息透明化的重要性，這也是我們將信息公諸于眾的原因所在。”

作為安全專業(yè)廠商，卡巴斯基建議大家“檢查網(wǎng)絡(luò)當(dāng)中是否存在Duqu 2.0隱患”，并列舉了幾項(xiàng)指標(biāo)作為判斷標(biāo)準(zhǔn)。此外，大家也可以閱讀開放IOC文件來進(jìn)行自查。目前介紹Duqu 2.0的文章很多，但我個(gè)人強(qiáng)烈建議大家點(diǎn)擊此處查看這篇技術(shù)論文。除了卡巴斯基之外，遭遇Duqu 2.0侵襲的受害者還包括一家匈牙利安全證書頒發(fā)機(jī)構(gòu)、工業(yè)控制系統(tǒng)領(lǐng)域的幾家企業(yè)以及同伊朗核問題相關(guān)的工業(yè)計(jì)算機(jī)與P5+1會(huì)議各方。

除此之外，賽門鐵克公司報(bào)告稱Duqu 2.0攻擊者的指向目標(biāo)還有很多，其中包括“一家歐洲電信運(yùn)營商、一家北非電信運(yùn)營商以及一家東南亞電子設(shè)備制造商。感染狀況也出現(xiàn)在了美國、英國、瑞典、印度以及香港等地。”

“Duqu 2.0是一款功能齊備的信息竊取工具，其設(shè)計(jì)目的在于對(duì)攻擊目標(biāo)的網(wǎng)絡(luò)進(jìn)行長期而潛伏極深地竊聽，”賽門鐵克方面指出。“其創(chuàng)造者很可能將其作為用于收集情報(bào)的主要工具之一。”

是的，所以微軟公司才將其新近發(fā)布的補(bǔ)丁標(biāo)記為“重要”……而大家最好是馬上進(jìn)行安裝，并以更為嚴(yán)肅的態(tài)度加以重視。當(dāng)然，微軟僅僅將其標(biāo)記為“重要”倒也在意料之中，畢竟該公司于今年三月已經(jīng)成功針對(duì)Stuxnet發(fā)布了修復(fù)補(bǔ)丁。事實(shí)上，微軟早在2010年就曾經(jīng)針對(duì)Stuxnet發(fā)布過補(bǔ)丁，不過根據(jù)惠普零日漏洞報(bào)告所指出，“該補(bǔ)丁并沒能真正解決問題。而且在接下來的四年多當(dāng)中，全部Windows系統(tǒng)仍在遭受同樣由Stuxnet所部署的攻擊侵襲。”