疑似俄黑客组织针对哈萨克斯坦目标
研究人员发现,可能与俄罗斯有关联的威胁组织 APT28正在监视中亚国家外交实体,以收集该地区的经济和政治情报。 该组织被追踪为 UAC-0063,至少自 2021 年以来一直活跃,此前曾针对乌克兰、以色列、印度以及哈萨克斯坦、吉尔吉斯斯坦和塔吉克斯坦等多个中亚国家的外交、非营利、学术、能源和国防实体进行攻击。 在对7 月份针对乌克兰科研机构的攻击进行分析时,乌克兰计算机应急反应小组 (CERT-UA) 认为 UAC-0063 与 APT28(又名 Fancy Bear 或 BlueDelta)有“中等信心”关联,后者与俄罗斯军事情报机构 (GRU) 有关联。 网络安全公司 Sekoia发现并于周一在一份报告中描述了正在进行的网络间谍活动,黑客使用合法文件(例如信函、草稿文件或内部行政记录)向受害者发送恶意软件,这些文件可能来自哈萨克斯坦外交部。 他们如何获得这些文件尚不清楚,但研究人员表示,这些文件可能是在早先的网络行动中被泄露的,或通过开源收集获得的,或通过物理操作获得的。 Sekoia发现了近二十份这样的文件,日期从 2021 年到 2024 年 10 月。其中大部分涉及哈萨克斯坦与其他国家之间的外交合作和经济问题。 这些恶意文件包含两种已知的恶意软件,Cherryspy 和 Hatvibe,这两种恶意软件都曾用于针对亚洲和乌克兰的网络间谍活动。Cherryspy 后门允许攻击者执行从命令和控制服务器收到的 Python 代码,而 Hatvibe 则可以在受感染的设备上下载和执行其他文件。 研究人员表示,尽管该组织在这次活动中使用了熟悉的工具,但感染链“非常独特”,并强调其专注于绕过安全解决方案。 研究人员认为,此次活动是针对中亚国家,特别是哈萨克斯坦外交关系的更大规模全球网络间谍行动的一部分。 他们表示:“此次攻击活动的目的可能是收集哈萨克斯坦与西亚、中亚国家关系的战略和经济情报。” 转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/V7z5IYda7TOTQgLtpN2oEA 封面来源于网络,如有侵权请联系删除
潜伏 20 年的以色列 8200 情报部队指挥官意外暴露身份
个人隐私在网络泄露往往并非源于高级黑客攻击,而是用户自己的疏忽大意,即使是顶尖间谍也会百密一疏,阴沟翻船。 以军情报头子出书泄密 近日,一位化名“准将YS”的匿名人士撰写了一本名为《人机团队》的书籍,在亚马逊上公开发行出售,宣扬可将先进人工智能技术与人类特工结合打造超级特工。 然而,经过英国《卫报》的调查,该书电子版中引用的一个私人匿名电子邮件地址(下图)却轻易暴露了作者的真实身份——以色列8200情报部队(相当于美国国家安全局或英国政府通信总部)的指挥官和人工智能战略架构师Yossi Sariel。 YossiSariel担任以色列8200情报部队指挥官的身份是以军最高机密之一,而8200情报部队则是世界上最强大的情报机构之一,建立了庞大的情报系统来密切监视巴勒斯坦领土,其情报能力可与美国国家安全局相媲美。 调查显示,Yossi Sariel在著作出版中犯下多个低级错误,例如: 作者笔名YS是Yossi Sariel姓名首字母缩写 书中的示例使用了Yossi Sariel私人谷歌(邮件)帐户,以及与该帐户关联的地图和日历配置文件链接。 据以色列国防部消息来源证实,该谷歌邮件账户与Sariel相关,多方信源也确认了他就是该书作者。对于一位潜伏了20多年的顶尖间谍来说,以如此低级的方式轻易暴露身份令业界感到震惊。 真实身份:“智能杀人工厂”推荐算法架构师 Yossi Sariel领导的8200情报部队目前正处于舆论的风口浪尖。去年10月哈马斯袭击以色列时,号称世界上最强大的情报机构之一的8200部队对袭击事件一无所知,没有发出任何预警,因而饱受国内舆论批评。 但是令人费解的是,在随后以色列对加沙地带的报复性轰炸中,8200情报部队开发的人工智能目标识别系统却在大规模锁定和攻击哈马斯武装分子的行动中发挥了极为关键的作用。以色列国防军(IDF)严重依赖8200部队开发的Lavender算法(目标推荐引擎)来生成数以万计的巴勒斯坦伊斯兰圣战组织(PIJ)及哈马斯武装分子的个人数据库。 据英国卫报报道,在战争的最初几周内,8200部队改进了Lavender的算法并调整了其搜索参数。在随机抽样和交叉检查其预测后,8200部队得出的结论是Lavender的准确率达到了90%,这导致以色列国防军批准将其广泛用作目标推荐工具。 据报道,以色列国防军已经通过Lavender创建了一个包含3-4万名可疑武装分子的个人数据库,大多被标记为哈马斯军事部门的低级别成员。(编者:战前,美国和以色列估计哈马斯军事组织的成员人数约为2.5-3万人) 与此同时,以色列国防军对加沙地带的轰炸还依赖8200部队开发的另外一个人工智能决策支撑系统和推荐算法——Gospel/Habsora(福音),该系统负责为以色列国防军推荐(轰炸)目标建筑物和工事。 Gospel人工智能系统到底采用了哪些形式的数据尚不清楚。但专家表示,基于人工智能的目标推荐决策支持系统通常会分析来自各种来源的大量信息,例如无人机镜头、截获的通信、监视数据以及通过监测个人和大型群体的行动和行为模式得出的信息。 消息人士告诉《卫报》,8200情报部队的Gospel和Lavender推荐系统帮助以色列国防军建立了“智能化大规模暗杀工厂”,在制定和授权暗杀名单方面发挥了关键作用。 总之,基于Yossi Sariel领导的8200情报部队开发的人员和建筑目标推荐算法,以色列国防军可以快速生成轰炸目标(每天100个甚至更多),而且可以精确调整平民附带伤害“参数”,例如杀死某个级别的哈马斯武装分子(或轰炸一个建筑)可以牺牲多少个平民(大约是1:15,该参数在不断变动中)。 泄密的后果 鉴于8200情报部队在以色列对加沙的轰炸行动中扮演着至关重要的角色,其开发的机器学习和人工智能系统首次被用于大规模杀伤性军事行动导致加沙地带大量平民死亡而在全球引发了人工智能武器化的一系列法律和道德问题争论。 随着加沙地带“大规模智能杀人工厂”的总设计师,人工智能武器化先驱,以色列国防军8200情报部队的指挥官兼人工智能战略架构师——YossiSariel发生严重泄密并意外暴露个人身份,全球人工智能产业、政府、军队将重新审视其匿名著作《人机团队》中描绘的“超级特工”和未来智能化战场场景。 作为这场由精确弹药和智能算法导致的大规模加沙平民伤亡事件的人工智能架构师,YossiSariel本人也将直接面对全球调查和谴责,其在以色列国防军中的去留尚不明朗。 最后,值得所有企业反思的是,如果顶尖情报机构的领导人都能犯下如此简单的身份暴露错误,那么(缺乏约束并拥有敏感信息和特权账户的)企业高级管理层该如何保护自己的隐私呢? 转自GoUpsec,原文链接:https://mp.weixin.qq.com/s/I7V1OrYJXaByV8-G93hXMw 封面来源于网络,如有侵权请联系删除
美国国家安全局前雇员承认向俄罗斯泄露机密国防数据
Hackernews 编译,转载请注明出处: 美国国家安全局(NSA)一名前雇员已经承认对他的指控,他曾试图向俄罗斯传输机密国防信息。 31岁的 Jareh Sebastian Dalke 在2022年6月6日至2022年7月1日期间担任美国国家安全局信息系统安全设计师,在此期间他获得了访问敏感文件的绝密许可。 美国司法部(DoJ)在本周一的新闻稿中表示:“Dalke 承认,在2022年8月至9月期间,为了展示他的‘合法访问和分享意愿’,他使用加密电子邮件帐户向他认为的俄罗斯特工传输了三份机密文件的摘录。” 实际上,所谓的特工是美国联邦调查局(FBI)的一名在线秘密雇员。 Dalke 还被指控要求以8.5万美元的价格交换他所持有的信息,他声称这些信息对俄罗斯很有价值,并承诺将来分享更多的文件。 泄密文件传输发生在科罗拉多州丹佛市的联合车站,通过一台笔记本电脑进行,其中包括五个文件,其中四个包含了绝密国防信息。其中一些摘录涉及到国家安全局更新一个未指明的加密程序的计划,以及涉及敏感的美国国防能力和俄罗斯进攻能力的威胁评估。 而第五个文件是一封信,Dalke 在信中写道:“我的朋友们!我很高兴终于向你们提供这些信息……我期待着我们的友情和共同利益。如果有需要的文件,请告诉我,我返回办公室后会尽力而为。” 2022年9月28日,在泄密文件传输后不久,Dalke 被当局逮捕。 现在,Dalke 已经认罪,等待在2024年4月26日接受判决,他可能面临最高终身监禁的刑罚。 Hackernews 编译,转载请注明出处 消息来源:TheHackerNews,译者:Serene
总统乔·拜登称美国不能购买其他国家用来对付它的商业间谍软件
拜登政府正试图钳制政府使用商业间谍软件,这些软件也可能被其他国家用来损害其利益。总统已经签署了一项行政命令,称联邦机构不能使用”对美国政府构成重大反间谍或安全风险或被外国政府或外国人士不当使用的重大风险”的间谍软件。 该命令确切地说明了什么是间谍软件–在用户不知情的情况下从设备中窃取信息和数据的软件–被美国政府使用的资格。如果是这样就不允许: 被外国个人或政府用来攻击美国政府 被一个有意在未经美国政府许可的情况下发布有关美国政府活动的”非公开信息”的实体出售 “在试图监视美国的”外国政府或外国人士的直接或有效控制之下 被用于监视美国公民或通过监视活动家、学者、记者、持不同政见者、政治人物或非政府组织成员或边缘化社区来侵犯人权 还出售给”从事系统的政治镇压行为,包括任意逮捕或拘留、酷刑、法外或出于政治动机的杀戮,或其他严重侵犯人权的国家”。 政府机构在确定某件间谍软件是否符合这些条件时,确实有一点回旋余地。如果开发商在得知此事后采取了”适当的措施”,如取消违规方的合同或与美国合作”反击”该软件的不当使用,那么该间谍软件被用来对付美国也是可以的。政府还必须考虑间谍软件供应商在出售软件时是否”知道或有理由知道”该软件会被滥用。 白宫官员并没有具体说明被禁止的确切软件列表,但现在有许多公开的商业间谍软件应用为政府提供服务(还有更多的黑市中售卖的软件)。 虽然该命令不是对间谍软件的彻底禁止,但它可能排除了市场上的许多产品。除非该软件是专门卖给美国政府的,否则几乎没有办法确定外国实体是否也在使用它来针对美国或该命令所保护的人群类型。 例如,NSO集团的PegASUS(飞马)间谍软件据称有保障措施;该公司声称它只出售给经以色列国防部批准的政府机构。记者发现,这种间谍软件可以悄悄地入侵手机,窃取和记录各种数据,很可能被一些政府用来对付国家元首、记者、活动家和其他人(据称联邦调查局也考虑过使用它)。 Pegasus在美国已经被完全禁止;2021年,美国商务部将NSO和Candiru一起列入其实体名单,禁止美国公司与它做生意。例如,据《纽约时报》报道,这意味着它不能从戴尔和微软等公司购买硬件和软件。然而,Pegasus远不是政府使用的唯一间谍软件。据报道,一名Meta公司的员工的手机被希腊国家情报机构使用Cytrox的Predator间谍软件入侵。 值得注意的是,这项命令将间谍软件定义为可以让你在未经授权的情况下进入一台电脑,从而获取电脑上的数据,从电脑上录制音频和视频,或追踪其位置的软件。政府经常使用黄貂鱼(Stingray)等技术跟踪人们的位置,或通过其他方式获得数据,如支付数据经纪人。人们可能会认为这是他们的手机被用来监视他们,但提供这些数据的应用程序并没有被算作间谍软件。 沿着这条线索,该命令明确指出外国政府或人们使用间谍软件来针对记者、政治家和活动家。然而,美国政府也有在其境内外对这些群体的人进行电子监控的历史。 政府并不是唯一对这样的间谍软件采取行动的实体。例如,苹果公司已经起诉了NSO集团,并为其设备引入了”锁定模式”,旨在使其更难在设备上远程安装间谍软件。 转自 cnBeta,原文链接:https://www.toutiao.com/article/7215356825724518972/ 封面来源于网络,如有侵权请联系删除
2018 年俄罗斯世界杯:俄罗斯网络间谍可能会入侵参观者移动设备
据外媒报道,美国反间谍安全中心主任 William Evanina 于近期发布警告称前往俄罗斯参加世界杯的球迷的移动设备和电脑可能会受到俄罗斯情报部门的黑客攻击。根据这位美国高级情报官员的说法,出于安全考虑,俄罗斯当局会在世界杯期间进行大规模监视。 Evanina 在一份声明中表示,前往俄罗斯参加世界杯的每一位旅行人员或者球迷都有可能会成为俄罗斯情报机构的目标,其移动电话、笔记本电脑、PDA 或者其他电子设备上的任何数据(尤其是个人身份信息)可能会被俄罗斯政府或者网络犯罪分子访问,尤其是一些企业和政府官员所面临的风险值可能最大,因此他们应随时保持高度警惕。 为了以防止黑客入侵,建议在未使用设备时取出电池。 消息来源:Security Affairs,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
23 岁黑客被控受雇于俄间谍侵入电邮 获刑 5 年
5月30日消息,据美联社报道,在美国旧金山市法庭举行的庭审中,23岁电脑黑客卡里姆·巴拉托夫(Karim Baratov)被控无意中与俄罗斯间谍机构合作,在雅虎大规模数据泄露事件中窃取数据,以获取私人电子邮件。法官文斯·查布里亚(Vince Chhabria)判处他5年监禁,并处以25万美元罚款。 2017年,两名俄罗斯间谍被控策划了2014年的雅虎黑客入侵事件,涉及5亿用户信息被盗。巴拉托夫也被美国起诉,被指控利用俄罗斯联邦安全局传递给他的被盗数据,侵入了数十名记者、商界领袖和其他人的电子邮件账户。检察官说,巴拉托夫是个“国际黑客雇佣兵”,对他的客户很少或根本没有研究。 去年11月份,巴拉托夫承认犯有9项重罪。他承认自己在7年前就开始从事黑客活动,并向客户收取100美元的黑客费,以侵入网络电子邮件中。巴拉托夫出生于哈萨克斯坦,但在加拿大多伦多居住。去年他在加拿大被捕,他通过欺骗用户将自己的凭证输入到伪造的密码重置页面,从而获得他人的网络邮件密码。 检察官在法庭文件中说,巴拉托夫的俄语“网络黑客”(webhacker)登载了广告,宣称“无需预付款就就可帮助侵入电子邮件账户”。检察官表示,俄罗斯情报机构支付给巴拉托夫报酬,支持他利用从雅虎获得的信息来攻击数十个电子邮件账户。检察官认为,俄罗斯联邦安全局的目标是俄罗斯记者、美国和俄罗斯政府官员以及金融服务和其他私人企业雇员。 巴拉托夫及其律师还说,他不知道自己在与俄罗斯间谍机构合作。在法庭文件中,巴拉托夫声称,他可以访问由谷歌和俄罗斯供应商(如Mail.Ru和Yandex)维护的网络电子邮件帐户。他会向客户提供被黑客入侵的账户截图,并承诺他可以更改安全问题,这样他们就可以长期控制账户。 美国司法部指控两名俄罗斯间谍策划了2014年雅虎安全漏洞袭击事件,窃取了5亿用户数据。德米特里·亚历山大·多库恰耶夫(Dmitry Aleksandrovich Dokuchaev)和伊戈尔·阿纳托利维奇(Igor Anatolyevich)仍然在逃,检方认为他们生活在俄罗斯,但俄罗斯与美国没有引渡条约。 巴拉托夫被认为已经收取了超过110万美元的黑客费用,他用这笔钱购买房屋和昂贵汽车。查布里亚法官在听证会上说:“在这种情况下,威慑尤其重要。”但他拒绝了检察官的要求,没有判处巴拉托夫10年监禁,因为他注意到巴拉托夫的年龄,而且被捕前没有犯罪记录。 自被捕以来,巴拉托夫始终处于被拘留状态。他告诉法官,他在狱中的时光“非常令人羞愧,经历也令人大开眼界”。他做出道歉,并承诺“做个更好的人”,在获释后会遵守法律。法官表示,一旦出狱,巴拉托夫很可能会被驱逐出境。 负责美国国家安全事务的助理总检察长约翰·德默斯(John Demers)说:“犯罪黑客和支持他们的国家在攻击美国公司和公民时犯了严重的错误。我们将在他们所到之处认出他们,并将他们绳之以法。” 稿源:网易科技,封面源自网络;
美国参议员议案:美国政府应封杀华为和中兴网络设备
北京时间 2 月 8 日早间消息,美国两名共和党参议员周三提出一项议案,希望禁止美国政府购买或租用来自华为或中兴的电信设备。“ 华为相当于中国政府的一个部门,他们完全有能力通过黑入自家设备来窃取美国官员的信息。” 阿肯色州参议员汤姆·考顿(Tom Cotton)说,“ 还有很多公司能满足我们的技术需求,我们不能让给让中国这么容易窃听我们。” 华为和中兴尚未对此置评。美国政府 2012 年就曾对这两家公司展开调查,了解他们的设备是否为外国间谍提供机会,并威胁美国关键的基础设施。但两家公司始终否认这些指控。 考顿与佛罗里达州参议员马可·卢比奥(Marco Rubio)共同推出了这项议案,这与两名众议员今年 1 月提出的议案相似。 在涉及战略性行业的问题时,特朗普政府针对于中国的立场较为强硬。有知情人士称,今年早些时候,在多名国会议员提出反对后,AT&T 就被迫取消了与华为的手机零售合作协议。 美国政府还封杀了蚂蚁金服对速汇金的收购计划。国会议员还对美国企业表示,如果他们与华为或中国移动建立联系,就会对其与美国政府开展业务的能力造成影响。 稿源:cnBeta、,稿件以及封面源自网络;
美众议院同意涉外情报监控法修正案,或将增强 NSA 间谍能力
据外媒报道,美国众议院 11 日以 256 票对 164 票的结果同意《涉外情报监控法修正案》(FISA Amendments Act)第 702 条 的更新授权,延长其有效期至 2024 年。不过该修正案还需美国参议院进行表决,但若表决通过将会意味着美国国家安全局(NSA)能够继续在没有搜查令的情况下监听美国境外的外籍人士,并且收集与外国人员通信的美国公民的相关情报。目前该修正案因缺乏对被监控人群的隐私保护而受到美国某些团体的反对。 自 2001 年 “ 9·11 ” 恐怖袭击事件发生之后,美国政府就开始在收集情报信息方面加大力度。据悉,NSA 存储于数据库的情报是在 AT&T、谷歌、Facebook 以及雅虎等互联网公司的帮助下编制的,而这些公司在未经授权的情况下就将信息交给了美国官员。 然而外国情报监控法的第 702 条将在 1 月 19 日到期,若在该日期前法案仍未获得美国政府通过,那么该条例将不能再保证 NSA 的监听计划。 虽然目前该修正案还需获得参议院的表决,但有政治分析人士猜测该修正案应该会被通过。最重要的一点是,美国总统唐纳德·特朗普(Tonald Trump)今天在 Twitter 上表示支持该修正案。 但也有不少美国隐私团体和公众反对该修正案,他们认为其增强了 NSA 的间谍权力,以至于隐私受到侵犯。 消息来源: Bleeping Computer,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
俄间谍组织 Turla 利用捆绑后门的 Flash 安装程序针对东欧各国使馆展开攻击活动
ESET 安全团队发现由国家资助的俄罗斯网络间谍组织 Turla 为其网络军械库增添了一款新“武器”,旨在针对 东欧各国使领馆开展攻击活动。据研究人员介绍说,Turla 将其后门与合法的 Flash Player 安装程序捆绑在一起,试图欺骗目标用户安装恶意软件,以便窃取敏感信息。 Turla 组织长期以来一直使用社交工程来引诱目标人群下载和安装伪造的 Adobe Flash Player。但 ESET 近期研究发现,该组织并未局限于以往的攻击工具 ,而是继续开发新型网络攻击武器。 据 ESET 透露 Turla 组织现在不仅将其后门与合法的 Flash Player 安装程序捆绑在一起,而且进一步融合更多可行方式,以确保所使用的 URL 和 IP 地址与 Adobe 的合法基础结构相对应。这样一来,攻击者基本上能够利用 Adobe 诱使用户下载恶意软件,并且使用户相信其下载的软件是来自 Adobe 官方网站(adobe.com)的。 自 2016 年 7 月以来该新工具的攻击活动中有几个与 Turla 组织有关的特征,其中包括该组织创建的后门程序 “ 蚊子”(Mosquito),以及之前与该组织关联使用的IP地址。 除了上述相关特征之外,新工具与 Turla 组织传播的其他恶意软件家族也有相似之处。 攻击媒介 ESET 研究人员提出了几个假设(如下图所示),是关于 Turla 的恶意软件如何应用到用户的计算机上。下图按照图标依次为:① 本地中间人攻击、② 危及网关 、③ ISP 更改流量、④ BGP 劫持、⑤ Adobe 某种威胁,其中 ⑤ 的假想被认为是不太可能成立的。 经过假设以及验证,ESET 研究人员考虑的可能的攻击媒介是: — 受害者组织网络内的一台机器可能被劫持,以便它可以作为本地中间人(MitM)攻击的跳板,这将有效地将目标机器的流量重定向到本地网络上的受感染机器上。 — 攻击者还可能危及组织的网关,使其能够拦截该组织的内部网和互联网之间的所有传入和传出流量。 — 流量拦截也可能发生在互联网服务提供商( ISP )的层面上 。 — 攻击者可能使用边界网关协议(BGP)劫持来将流量重新路由到 Turla 控制的服务器,虽然这种策略可能会相当迅速地启动 Adobe 或 BGP 监视服务的警报。 一旦成功安装并启动假 Flash 程序,前面所使用的几个后门则可能被丢弃,如后门 Mosquito ,它是一个 Win32 恶意软件,通过恶意 JavaScript 文件与 Google Apps 脚本上托管的 Web 应用程序通信,或者是从伪造的和不存在的 Adobe URL 下载的未知文件。 然后,这个阶段将被设定为任务的主要目标——过滤敏感数据,包括受感染计算机的唯一 ID、用户名以及安装在设备上的安全产品列表。而用户名和设备名称则会由 Turla 所使用的后门从在 MacOS 上过滤出来。 在这个过程的最后一部分,伪造的安装程序会丢弃随后运行合法的 Flash Player 应用程序以便迷惑用户。后者的安装程序要么嵌入到其伪造的对象中,要么从 Google Drive 网址下载。为了在系统上建立持久性,恶意安装程序还会篡改操作系统的注册表,创建一个允许远程访问的管理帐户。 目前,ESET 的研究人员称已经发现了 Turla 后门 Mosquito 的新样本,不过其代码分析更加困难。 相关阅读: <Turla’s watering hole campaign: An updated Firefox extension abusing Instagram> <Carbon Paper: Peering into Turla’s second stage backdoor> 消息来源:welivesecurity,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
前 NSA 黑客揭露如何将卡巴斯基杀软变成间谍工具
根据卡巴斯基的案例表明,安全软件可以被情报机构利用来作为一种强大的间谍工具。Digita Security 首席研究官 Patrick Wardle 和前 NSA 黑客通过颠覆卡巴斯基实验室杀毒软件并将其变成强大的机密文档搜索工具来证实了这一点。 Patrick Wardle 在接受纽约时报采访时说: “ 杀毒产品是对抗恶意代码的首选。“ 然而,具有讽刺意味的是,这些产品与先进的网络间谍工具有许多共同之处。“从技术角度来看,如果一个反病毒制造商出于某种原因,比如被强迫、被黑客攻击等,是否可以创建一个标记机密文件的签名? 去年12月,美国总统特朗普 签署了一项法案,禁止在联邦机构使用卡巴斯基实验室产品和服务。根据 Edward J. Snowden 泄漏的一份绝密报告草案显示,NSA 至少自 2008 年就瞄准了杀毒软件(即 Checkpoint 和 Avast )以便于收集存储在目标机器上的敏感信息。 Wardle 对卡巴斯基实验室杀毒软件进行了逆向工程,以探究是否有可能将其用于情报目的。其目标是希望能够编写一个能够检测机密文件的签名。Wardle 发现代码非常复杂,与传统的防病毒软件不同的是,卡巴斯基的恶意软件签名很容易更新。研究人员认为这个功能可以调整自动扫描受害者的机器和窃取机密文件。 “ 现代反病毒产品是非常复杂的软件,卡巴斯基可能是最复杂的一个。因此,仅仅获得对其签名和扫描逻辑的合理理解是一项具有挑战性的任务。”卡巴斯基的反病毒引擎会定期检查并自动安装任何新的签名。当新的签名可用时,该签名将被卡巴斯基更新服务器的kav守护进程下载。 杀毒软件扫描可能被用于网络间谍活动 Wardle 称官员们通常会将最高机密文件与 “ TS / SCI ” ( “ 最高机密 / 敏感区域信息 ” )进行分类,Wardle 向卡巴斯基的杀毒程序添加了一条规则,用来标记任何包含 “ TS / SCI ” 的文档。为了测试新规则,研究人员在他的电脑上编辑了一个文件,其中包含小熊维尼儿童读物系列的文本,并添加了 “ TS / SC ” 标记。一旦文档被保存到他的机器上,卡巴斯基的防病毒软件就会标记并隔离该文档。 Wardle 测试的后续阶段是发现如何管理被标记的文档,但是反病毒软件将数据发送回公司通过进一步分析发现是正常的。 而卡巴斯基在一份声明中称 Wardle 的研究并不正确,因为卡巴斯基实验室不可能以特定的秘密方式向特定的用户提供特定的签名或更新,所有签名总是公开给所有用户使用而且更新是经过数字签名的,不可能进一步伪造。 但无论如何,Wardle 的研究表明,黑客厂商的平台可以使用杀毒软件作为搜索工具。 专家总结说 :“然而,任何反病毒公司内部的恶意或有意识的内部人士,如果能够策略性地部署这样的签名,那么在一个可能的情况下任何被强迫或愿意与如政府之类强大机构合作的反病毒公司都同样能够悄悄地利用他们的产品来检测和利用任何感兴趣的文件。” 。 详细报告内容见<All Your Docs Are Belong To Us> 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。