卡巴斯基称NSA员工使用盗版软件才被感染间谍软件
目前反病毒软件卡巴斯基已经针对美国指责该软件帮助俄罗斯情报机构窃取资料的指控公布了更多调查数据。
卡巴斯基称遥测数据显示美国国家安全局员工的电脑含有大量间谍软件,这些间谍软件才是窃取资料的黑手。
NSA员工使用盗版软件:
卡巴斯基发布的报告基本为我们复原了当时的事件图,主要原因是NSA员工使用盗版软件才感染了间谍软件。
起先该员工将机密资料通过U盘复制到回家中的电脑上查看,但其电脑并未安装 Microsoft Office 系列产品。
接着该员工从网上搜索并下载到了含有后门程序的镜像文件,同时释放在系统里的还有含有后门的KMS软件。
当卡巴斯基监测到异常时开始拦截后门连接远程服务器,然而该用户此时选择禁用卡巴斯基以便激活 Office。
这种行为对于使用盗版软件来说应该是很普遍的,因为破解工具需要禁用反病毒软件防止被查杀后无法使用。
卡巴斯基也确实获得了机密文件:
在该员工激活成功并恢复卡巴斯基的运行后基于云端安全扫描软件自动将可疑的文件上传到卡巴斯基服务器。
卡巴斯基在发现部分文件属于机密文件后立即从服务器上删除了文件并删除了已经下载的文件及其副本等等。
这也成为美国国家安全局指责卡巴斯基窃取数据的主要证据,该安全局要求美国政府部门全部禁用卡巴斯基。
有意思的是又甩锅给了中国:
这些间谍软件连接的远程服务器所使用的多组顶级域名,留的联系地址为中国湖南省邵阳市的某个虚假地址。
这些顶级域名注册人名字似乎叫周璐(音译),同时其留下的手机号码属于湖南长沙百谷网络科技有限公司。
而该公司实际上是Google AdWords广告在中国的代理商,该公司的主营业务是网络营销和ERP软件的开发。
显然有人故意伪造这些注册信息将线索指向中国,因为域名注册信息本身可以隐藏但攻击者却故意选择公开。
同时间谍软件最初是俄罗斯黑客在 2011 年时创建的,这些间谍软件曾经还在俄罗斯地下黑客论坛做过广告。
卡巴斯基称将会针对这些间谍软件再进行单独的分析并发布报告,所以真正的幕后黑手我们还需要继续等待。