卡巴斯基 劫持NSA恶意软件的电脑已经撤回

据报道，一名NSA工作人员将该机构的分类材料存放在一台家用电脑上，后者被恶意的后门感染，允许第三方远程访问机器，莫斯科防病毒提供商卡巴斯基实验室的负责人说。

在一些已发表的报告中，NSA工作人员在一些已发布的报告中描述为承包商，而在其他公司的报告中则将其作为雇员安装了后门。卡巴斯基AV在其计算机上首次检测到未曾见过的NSA恶意软件样本。后门是工作人员下载并安装的盗版软件包的一部分。要运行盗版软件，他首先必须在他的电脑上禁用AV程序。被感染后，工作人员重新启用了AV程序并多次扫描了他的计算机，导致卡巴斯基开发了对NSA恶意软件的新的和未知的变体的检测。

美国国家安全局工作人员的计算机运行了一个家庭版本的卡巴斯基AV，已经启用了名为卡巴斯基安全网络的志愿服务。KSN打开时，会自动将新的和以前未知的恶意软件上传到公司卡巴斯基实验室服务器。该设置最终导致以前未检测到的NSA恶意软件上传到卡巴斯基实验室服务器，然后由公司分析师进行审查。

详细信息载于卡巴斯基实验室预计星期三上午早些时候公布的两页调查结果摘要。卡巴斯基只表示，这些结果与“媒体所称的2015年事件”有关。这些事件几乎肯定是本月早些时候由“华尔街日报”，“纽约时报”和“华盛顿邮报”报道的。这些文件表示，为俄罗斯政府工作的黑客使用卡巴斯基AV从工人的家用电脑获得分类的NSA材料。

有些报道似乎让卡巴斯基的帮助可能是无意的。一种可能的情况是：已经安装在工作人员的因特网连接的计算机上的AV程序只是检测到一个新的恶意软件样本属于已知的黑客组。到了2015年，卡巴斯基的研究人员已经详细了解了“方程组”的详细资料，他们给了一个与国安队有联系的精英黑客装备的名字，该组织已经在42个国家感染了超过500台电脑，至少未能发现14年。

然而，在“ 华尔街日报”中发表的一个故事报告说，援助的形式是对卡巴斯基AV的修改，只能由至少一名卡巴斯基实验室官员了解。卡巴斯基实验室官员大力否认有意提供任何此类帮助。星期三的初步调查结果似乎旨在为拒绝提供事实依据。

星期三的报告似乎至少提供了两个似乎合理的情景，这将大大的解除卡巴斯基的故意帮助俄罗斯政府的黑客从工人的电脑窃取分类的NSA材料。第一个涉及到俄罗斯的黑客以某种方式使用安装在工人电脑上的后门来访问不正确地存储在那里的材料。在第二种情况下，黑客以正常的方式从工作人员的计算机到卡巴斯基服务器获取代码。

卡巴斯基表示，以前看不见的方程组恶意软件被压缩为7zip存档。卡巴斯基AV检测到它是恶意的，并且与NSA工作人员的计算机上的设置一致，将其提交给卡巴斯基实验室服务器，以便现场人员进一步处理。分析发现，它包含多个恶意软件样本和源代码，显示为方程组恶意软件。

“发现可疑方程式[Group]恶意软件源代码后，分析师向CEO报告了事件，”周三的初步结果报道。“根据首席执行官的要求，该档案从我们所有的系统中删除，该档案并不与任何第三方共享。”

卡巴斯基实验室于2015年2月发布了关于方程组的报告后，其他几个使用KSN的其他AV用户使用的IP地址与早期检测的范围相同。“这些似乎已被配置为”蜜罐“，每台计算机都装载了各种等式[组]相关样本，”星期三的结果状态。“这些”蜜罐“中没有检测到并提交异常（不可执行）样本，检测没有以任何特殊的方式处理。

调查发现，2015年，2016年和2017年没有发现任何其他相关的检测。除了被卡巴斯基在2015年透露的“Duqu 2.0”之外，卡巴斯基实验室网络没有其他入侵。在本月份“ 华尔街日报”报道中提出索赔时，调查也没有发现任何证据表明，卡巴斯基曾经在其产品中对“最高秘密”和“分类”等关键字进行了检测。卡巴斯基实验室官员承诺在其调查中转交证据，以供受信任的第三方验证。

周三的帐户强调了卡巴斯基实验室遇到困境的严重程度。美国国土安全部最近采取了前所未有的步骤，禁止所有联邦政府机构和部门使用卡巴斯基的任何商品或服务。本月早些时候发现的指控有可能导致世界各地的大多数美国盟友甚至采取类似的行动。不清楚星期三的结果将如何令人信服，但在这一点上，AV提供商几乎没有失望。

翻译自arstechnica