NSA監(jiān)控全球著名殺毒公司以獲取病毒樣本

責(zé)任編輯:editor005

2015-06-24 22:25:29

摘自:ZDNet至頂網(wǎng)

從這份秘密文檔看,NSA充分利用了其在全球網(wǎng)絡(luò)的布局的體系優(yōu)勢(shì)(類似棱鏡等系統(tǒng)),監(jiān)聽(tīng)獲取全球用戶上報(bào)給卡巴斯基的病毒樣本,并對(duì)這些樣本同樣進(jìn)行分析、遏制、反制等操作。

自由斯諾登網(wǎng)(Edwardsnowden.com)最新披露了一份美國(guó)NSA內(nèi)部文件《An Easy Win:Using SIGINT to Learn about New Viruses(輕松的勝利:利用SIGINT來(lái)了解新病毒)》,文件介紹了美國(guó)自2007年開(kāi)始執(zhí)行的“弧線”(Camberdada)計(jì)劃,主要對(duì)以俄羅斯卡巴斯基等為主的目標(biāo)進(jìn)行監(jiān)控,以獲取新的病毒樣本及其他信息。這份文件的日期無(wú)法確定,但從里面列舉的一封郵件的編號(hào)來(lái)看,該文檔形成日期晚于2012年5月。

從這份秘密文檔看,NSA充分利用了其在全球網(wǎng)絡(luò)的布局的體系優(yōu)勢(shì)(類似棱鏡等系統(tǒng)),監(jiān)聽(tīng)獲取全球用戶上報(bào)給卡巴斯基的病毒樣本,并對(duì)這些樣本同樣進(jìn)行分析、遏制、反制等操作。

NSA在該文檔中提出,可以讓其TAO攻擊組織分析這些惡意代碼實(shí)現(xiàn)改造和重新重用,同時(shí)也可以有利于監(jiān)控惡意代碼的作者。NSA同時(shí)提出可以監(jiān)控卡巴斯基對(duì)這些文件的響應(yīng)頻率,這一點(diǎn)有可能是NSA在擔(dān)心卡巴斯基等產(chǎn)品是否會(huì)都本國(guó)攻擊使用的惡意代碼放行。

NSA監(jiān)控全球著名殺毒公司以獲取病毒樣本

圖:NSA截獲的用戶上報(bào)樣本郵件內(nèi)容

(從黑色標(biāo)號(hào)來(lái)看,這封郵件是2012年5月10日發(fā)送(或截獲)的,由此形成該文檔形成日期晚于2012年5月的判斷)

在這份文檔的最后,NSA列出了其計(jì)劃展開(kāi)監(jiān)控的“更多目標(biāo)”,除作為主要目標(biāo)的卡巴斯基外,還包括了13個(gè)歐洲國(guó)家和3個(gè)亞洲國(guó)家總計(jì)23個(gè)反病毒廠商?;竞w了英美國(guó)以外的幾乎所有重要的反病毒廠商。其中包括了網(wǎng)絡(luò)安全人士耳熟能詳?shù)拇笾┲耄ǘ砹_斯)、比特梵徳(羅馬尼亞)、小紅傘(德國(guó))、諾曼(挪威),中國(guó)廠商安天也進(jìn)入目標(biāo)。

這份文檔作為了“五只眼”安全聯(lián)盟的“TOP Secert”文檔,而五眼安全聯(lián)盟是一個(gè)由美國(guó)發(fā)起的五國(guó)聯(lián)合情報(bào)組織,其他四國(guó)為英國(guó)、澳大利亞、加拿大和新西蘭。因此上述五國(guó)均無(wú)廠商上榜。美國(guó)傳統(tǒng)反病毒三巨頭賽門(mén)鐵克(Symantec)、邁克菲(Mcafee)、趨勢(shì)(Trendmacro)自然不會(huì)上榜,榜單上也未見(jiàn)Comodo等美國(guó)中小殺毒廠商,英國(guó)著名反病毒廠商索福斯(Sophos)也在被監(jiān)控的榜單之外。這或許說(shuō)明上述廠商,已經(jīng)和NSA建立了有利的互動(dòng)通道,NSA不需要依賴這種方式就可以獲取這些廠商的資源。

值得注意的是這份文檔信息亦有失誤,這份文檔中把ESET和NOD32作為了兩個(gè)不同的廠商,但實(shí)際上NOD32是ESET的一款產(chǎn)品名稱。由此可見(jiàn),此份文檔形成時(shí),更為全面或系統(tǒng)的行動(dòng)也許尚未展開(kāi)。

NSA監(jiān)控全球著名殺毒公司以獲取病毒樣本

文檔列舉的“目標(biāo)廠商”

有關(guān)專家接受記者采訪時(shí)表示:美國(guó)以全球無(wú)盲點(diǎn)監(jiān)控為其全球戰(zhàn)略的依托,因此對(duì)一切有能力的目標(biāo)進(jìn)行監(jiān)控這并不意外。俄中等國(guó)有實(shí)力安全廠商被作為目標(biāo)是必然的。而僅憑文檔內(nèi)容來(lái)看,NSA針對(duì)卡巴的用戶樣本上報(bào)進(jìn)行監(jiān)聽(tīng),并在幾年的時(shí)間里獲取了數(shù)百個(gè)病毒樣本,從數(shù)量上看,似乎不多。這主要是因?yàn)猷]件已經(jīng)不是安全廠商樣本上報(bào)的主通道。但這種定向的樣本上報(bào)能清晰的表明用戶與廠商間的信任關(guān)系,也能表明用戶自身對(duì)樣本的發(fā)現(xiàn)能力,這就是一個(gè)有價(jià)值的情報(bào)。但更值得關(guān)注的是,美英兩國(guó)廠商缺席了被監(jiān)控名單,也許說(shuō)明他們與NSA之間有更隱秘的交流通道,那么美英廠商是否會(huì)放行美國(guó)和其他五眼情報(bào)部門(mén)所使用的病毒樣本,就非常值得世界各國(guó)用戶關(guān)注。

附表:被NSA作為目標(biāo)的各國(guó)廠商情況。

 

國(guó)家

目標(biāo)廠商數(shù)量

目標(biāo)廠商

法國(guó)

1

FSB-Antivirus

羅馬尼亞

1

BitDefender(比特梵徳)、

意大利

2

Viripro、Novirusthanks

以色列

2

eAladdin、Checkpoint

挪威

1

Norman

捷克

2

AVG、Avast

冰島

1

F-prot

芬蘭

1

F-secure

俄羅斯

2

Kaspersky(卡巴斯基)、DrWeb(大蜘蛛)

印度

1

K7computing

奧地利

2

IKarus、Emsisoft

韓國(guó)

2

Hauri(韓銳)、Ahnlab(安博士)

波蘭

1

Arcabit

中國(guó)

1

Antiy(安天)

德國(guó)

1

Avira(小紅傘)

斯洛伐克

2

Spy-Emergency、ESET

 

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)

<dfn id="fmemb"><big id="fmemb"><optgroup id="fmemb"></optgroup></big></dfn><var id="fmemb"></var>