卡巴斯基实验室公布了关于 NSA 数据被盗事件的调查细节

15109082612496.jpg

最近发布的详细调查报告中,卡巴斯基实验室表示,当初华尔街日报所披露的 NSA 数据泄露事件大致发生在 2014 年 9 月 11 日到 2014 年 11 月 17 日之间,并非是在 2015 年,华尔街日报似乎是把日期弄混了。当时卡巴斯基检测到某个恶意软件,IP 地址指向 Maryland 的 Baltimore 地区,靠近美国国家安全局总部。后来才发现,这个恶意软件的使用者是与 NSA 有关的 Equation Group(方程式组织)所使用的。

该恶意软件所在的计算机中也装载了卡巴斯基的杀毒软件,因此包含恶意程序文件的存档通过杀毒软件发送回了卡巴斯基系统。经分析,该存档包含 Equation 组织所使用的恶意软件源代码以及四个分类明确的文档(如机要、保密等),并为不同的工具命名(包括 Equation、Grayfish、Fanny、DoubleFantasy 和 Equestre 等)。

此前还有指控称,卡巴斯基产品经过专门配置,可以在产品所处系统中搜寻机密文档。这份详细报告中也对此给出了解释:公司有经验丰富的开发人员仔细处理和验证所有从用户设备检索文件的签名;而且没有证据表明有人在调查 Equation 恶意软件期间为标记为“秘密”的文件创建了签名。

卡巴斯基也承认,的确有分析员为名称包含字符串“secret”的文件创建了一个签名,但只是为了调查与 TeamSpy 间谍活动有关的恶意软件。这个签名包含该恶意软件特有的路径,以避免误报。