對于卡巴斯基實驗室來說，站出來承認自己也淪為了黑客活動的受害者肯定是需要很大勇氣的。正如該公司創(chuàng)始人尤金·卡巴斯基表示此次“復雜且經(jīng)過精心策劃的攻擊侵襲了我們的網(wǎng)絡，這很可能是一次由政府下屬組織籌劃的愚蠢的行動”。

有鑒于此，我們似乎應該把微軟公司于昨天發(fā)布的權(quán)限補丁MS15-61的標簽從“重要”修改為“高危”，因為它正屬于Duqu 2.0攻擊者所利用的零日漏洞?？ò退够鶎嶒炇覍栴}報告給了微軟方面，并決定在利用該補丁解決漏洞之前向公眾解釋惡意人士是如何利用它完成此次攻擊活動的。

對于卡巴斯基來說，站出來承認自己也淪為了黑客活動的受害者肯定是需要很大勇氣的，不過我們需要以開誠布公地方式分享這些與Duqu、Flame乃至Gauss等攻擊活動相關(guān)的信息，因為Duqu攻擊者實際來自Stuxnet。而正是同一撥攻擊者這次又利用Duqu 2.0攻陷了卡巴斯基公司。

尤金·卡巴斯基指出，此次“復雜且經(jīng)過精心策劃的攻擊侵襲了我們的網(wǎng)絡，這很可能是一次由政府下屬組織籌劃的愚蠢的行動”。他同時寫道：

被用于實施此次攻擊的惡意軟件極具創(chuàng)新性與先進性。舉例來說，它會駐留在內(nèi)存——也就是計算機的臨時性記憶體當中，同時盡可能避免對磁盤驅(qū)動器中的數(shù)據(jù)作出修改。它所采取的“駐留機制”(更準確地講，應該稱為‘不在場機制’)非常巧妙。很明顯這套攻擊方案是由一部分技術(shù)人員認真設(shè)計出來，再由這些聰明而又邪惡的頭腦耗費大量時間與精力開發(fā)而成，這意味著整個產(chǎn)生周期需要投入數(shù)百萬美元巨資。攻擊者們很可能認為，Duqu 2.0惡意軟件根本無法被檢測出來。雖然我一直都為卡巴斯基內(nèi)部人員的技術(shù)水平及技術(shù)成果而自豪，但此次消息的出現(xiàn)無疑進一步增強了這種自信心。當前的事態(tài)證明了一點：攻擊我們只會導致一種結(jié)果：惡意人士會被抓個現(xiàn)形——無論你們有多么聰明。除此之外，我們的初步調(diào)查也顯示，對方并沒能竊取到多少成果數(shù)據(jù)。

雖然此次攻擊者的目標是設(shè)法訪問到與卡巴斯基實驗室“研發(fā)及新技術(shù)”相關(guān)的數(shù)據(jù)——這意味著此次攻擊很可能屬于間諜活動——但公司運營并未受到破壞，而且Duqu 2.0攻擊并沒有威脅到卡巴斯基公司的客戶與合作伙伴，卡巴斯基指出。

不過這些惡意間諜也摸清了卡巴斯基公司所采取的調(diào)查檢測方法與分析能力。“由于我們在對抗高復雜度安全威脅方面一直負有盛名，他們希望掌握這些信息來保證自己躲在搜索范圍之外。但這根本不可能，”卡巴斯基在卡巴斯基實驗室的官方博客當中寫道。而且如果偵測反應能力才是這幫攻擊者的真正意圖，那么“訪問亦需要在許可協(xié)議之下進行(至少其中一部分是如此)!”

此次攻擊的發(fā)生時間恰好是在卡巴斯基實驗室在其安全分析師峰會上公布對“Equation Group”黑客組織進行廣泛研究得出的結(jié)論之后。雖然卡巴斯基方面已經(jīng)不再將矛頭指向美國國家安全局，但證據(jù)顯示的結(jié)論卻確鑿無誤。這一次的攻擊活動顯然屬于立足于Stuxnet進行的由國家支持的惡意軟件使用情況。

這款惡意軟件確實相當可怕，不過卡巴斯基實驗室在博文中提醒攻擊者稱，“住在玻璃房子里的人最好不要亂扔石頭。”

從政府角度對IT安全企業(yè)進行攻擊簡直無恥至極。我們應當與國家及作為其代表的政府站在同一陣線之上，共同實現(xiàn)網(wǎng)絡世界的安全與保護目標。我們彼此共享知識以對抗網(wǎng)絡犯罪活動，并通過協(xié)調(diào)提高安全問題的調(diào)查效率。我們攜手共進才能將網(wǎng)絡世界打造成更美好的精神居所。但現(xiàn)在我們發(fā)現(xiàn)“社區(qū)”中的一些成員存在著有違法律、職業(yè)道德或者說常識的舉動。

對我個人來說，這是一個明確的信號，意味著我們需要通過全球所公認的游戲規(guī)則來遏制數(shù)字化間諜活動并預防網(wǎng)絡戰(zhàn)爭的發(fā)生。如果各種陰暗的團體——通常都與政府方面有著千絲萬縷的聯(lián)系——把互聯(lián)網(wǎng)當成是如同當初缺乏監(jiān)管的狂野西部一樣的肆虐環(huán)境，那么這種缺乏秩序的橫行無忌將把信息技術(shù)的全球可持續(xù)發(fā)展趨勢引入嚴重的危機當中。所以我再次呼吁所有對此負有責任的國家團結(jié)在一起，共同制定并遵循規(guī)則，同時打擊網(wǎng)絡犯罪與惡意軟件——而非為其造勢甚至推波助瀾。

“在攻擊卡巴斯基實驗室的過程中，Duqu攻擊者們很可能自以為這場侵襲不會被發(fā)現(xiàn)，但他們失敗了，”Duqu 2.0技術(shù)論文作出了這樣的總結(jié)。“對于一家安全廠商來說，最困難的任務之一就是承認自身已經(jīng)淪為了惡意軟件攻擊的犧牲品。但在卡巴斯基實驗室，我們堅信信息透明化的重要性，這也是我們將信息公諸于眾的原因所在。”

作為安全專業(yè)廠商，卡巴斯基建議大家“檢查網(wǎng)絡當中是否存在Duqu 2.0隱患”，并列舉了幾項指標作為判斷標準。此外，大家也可以閱讀開放IOC文件來進行自查。目前介紹Duqu 2.0的文章很多，但我個人強烈建議大家點擊此處查看這篇技術(shù)論文。除了卡巴斯基之外，遭遇Duqu 2.0侵襲的受害者還包括一家匈牙利安全證書頒發(fā)機構(gòu)、工業(yè)控制系統(tǒng)領(lǐng)域的幾家企業(yè)以及同伊朗核問題相關(guān)的工業(yè)計算機與P5+1會議各方。

除此之外，賽門鐵克公司報告稱Duqu 2.0攻擊者的指向目標還有很多，其中包括“一家歐洲電信運營商、一家北非電信運營商以及一家東南亞電子設(shè)備制造商。感染狀況也出現(xiàn)在了美國、英國、瑞典、印度以及香港等地。”

“Duqu 2.0是一款功能齊備的信息竊取工具，其設(shè)計目的在于對攻擊目標的網(wǎng)絡進行長期而潛伏極深地竊聽，”賽門鐵克方面指出。“其創(chuàng)造者很可能將其作為用于收集情報的主要工具之一。”

是的，所以微軟公司才將其新近發(fā)布的補丁標記為“重要”……而大家最好是馬上進行安裝，并以更為嚴肅的態(tài)度加以重視。當然，微軟僅僅將其標記為“重要”倒也在意料之中，畢竟該公司于今年三月已經(jīng)成功針對Stuxnet發(fā)布了修復補丁。事實上，微軟早在2010年就曾經(jīng)針對Stuxnet發(fā)布過補丁，不過根據(jù)惠普零日漏洞報告所指出，“該補丁并沒能真正解決問題。而且在接下來的四年多當中，全部Windows系統(tǒng)仍在遭受同樣由Stuxnet所部署的攻擊侵襲。”