本文講的是卡巴斯基遭遇apt攻擊 隱藏數月未被發現,作為全世界領先的安全公司卡巴斯基,經常會披露它發現的各大機構被攻擊的安全事件,但現在可以談談自己了。
尤金·卡巴斯基把這個apt惡意程式稱之為duqu 2.0,因為它與2023年發現的背後有國家支援的惡意軟體duqu有關。duqu最早出現在2023年9月,是繼震網蠕蟲後最受關注的惡意程式之一,大多數duqu出現在工控系統中。在本周二的網路新聞發布會上,卡巴斯基仔細地解釋了這個惡意軟體。除了攻擊卡巴斯基的網路以外,duqu還攻擊了新近p5+1的伊朗核**談判。因此,這個惡意軟體背後的國家有可能是以色列。
duqu2.0利用了三個微軟的零日漏洞,微軟在本周二剛剛發布這些漏洞的補丁。
「攻擊非常之高階複雜,這是一種新一代的很可能為國家支援的惡意軟體。如果用好萊塢電影來比喻,它就是一種外星人、終結者和鐵血戰士的混合體。」
duqu2.0非常難以檢測,它不會建立任何on-desk檔案,也不會生成登錄檔目錄,它是一種基於記憶體的應用程式。「通過假扮成系統管理員公升級網路軟體以在網路中傳播。」
卡巴斯基承認在發現之前,duqu2.0已經在他公司的網路中潛伏了數月的時間。他表示,研究人員已經對這個程式進行了深度的檢測,相信沒有任何卡巴斯基的使用者或合作夥伴的資訊受到危害。攻擊者只是在尋找卡巴斯基病毒研究方面的資訊,以及如何發現和處理惡意軟體的技術。
至於如何發現duqu2.0的,卡巴斯基乙個字都沒有提。「攻擊網路安全公司是愚蠢的行為,我們盡早會發現的。我們有新的檢測技術,對付apt的工具,還有在網際網路上找到惡意軟體的高超技術,只不過這次是在本公司找到的。」
而卡巴斯基之所以要把這起針對自己公司的攻擊事件披露出來,是因為網際網路是乙個整體,要保護它就需要資訊共享。
「通常上來講,企業都不願意披露這樣的事情,因為可能會導致名譽上的損害,但我們決定不這樣去做。我們想展示正確的行為,因為要想對抗網路攻擊,企業必須透明,一味沉默的話就會被乙個接乙個的乾掉。」
卡巴斯基表示,正因為duqu2.0的攻擊,卡巴斯基實驗室現在更加聰明並比之前更加具備檢測威脅和保護客戶的能力。但令人擔心的是,duqu2.0最終會從國家支援的黑客那裡流入到犯罪分子手中,從而帶來更普遍的威脅。
「我擔心這次攻擊的下一步就是網路恐怖主義。」
「Mask」行動 卡巴斯基發現新型APT
簡述 mask是一項至少始於2007年的高階威脅行動,並與多起網路間諜事件關聯。mask 由西班牙俚語 careto 醜陋的面孔 或 面具 得來,作者在一些惡意軟體模組裡參雜了 careto the mask 的特別之處在於攻擊者使用工具的複雜程度。它的 庫包括乙個極為複雜的惡意軟體,乙個rootk...
卡巴斯基 火眼雙雙遭遇零日漏洞
本文講的是卡巴斯基 火眼雙雙遭遇零日漏洞,谷歌一名安全研究員塔維斯 奧曼迪,上週在推特上披露了卡巴斯基防病毒軟體中的乙個漏洞,利用此漏洞可繞過卡巴斯基2015 2016版防病毒產品,入侵使用者的計算機系統。乙個遠端的無需互動的系統級漏洞,預設設定。所以,情況 要多嚴重有多嚴重。奧曼迪並未透露漏洞細節...
卡巴斯基阻塞網路?
一直都鍾情於卡巴斯基的防毒軟體。從以前的5版本用到現在的2009,見證了它的變化。個人感覺是版本5當初進入中國時,是特別耗費資源的,後來的版本應該說徹底解決問題了,抑或是我電腦效能變好了?基本都是用的卡巴正版。這次的2009,我也是買了一年正版全功能,但最近發現些許問題,就是開了卡巴,不能連線伺服器...