事件概述

一名美国国家安全局（NSA）工作人员据称将机密材料带出机构，并存储在家用电脑上。该电脑随后感染了一个恶意后门程序，允许第三方远程访问。这一事件由莫斯科的卡巴斯基实验室（Kaspersky Lab）官员披露。

事件细节

1. 后门感染：

   • 该NSA工作人员（报道中有的称为承包商，有的称为员工）在家用电脑上安装了卡巴斯基杀毒软件，并首次检测到了从未见过的NSA恶意软件样本。
   • 为了运行盗版软件，他禁用了卡巴斯基杀毒软件，导致电脑感染了后门程序。之后，他重新启用了杀毒软件并多次扫描电脑，使卡巴斯基能够检测到新的、未知的NSA恶意软件变种。

2. 卡巴斯基安全网络（KSN）：

   • 该电脑运行的是卡巴斯基家庭版杀毒软件，并启用了KSN服务。KSN会自动将新的和未知的恶意软件上传到卡巴斯基服务器。
   • 这一设置导致未检测到的NSA恶意软件被上传到卡巴斯基服务器，并由公司分析师进行审查。

3. 调查结果：

   • 卡巴斯基发布了两页的调查结果摘要，涉及2015年媒体报道的事件。这些事件几乎可以肯定是由《华尔街日报》、《纽约时报》和《华盛顿邮报》报道的。
   • 报道称，俄罗斯政府的黑客利用卡巴斯基杀毒软件从该工作人员的电脑中获取了机密NSA材料。

4. 可能的无意协助：

   • 部分报道认为卡巴斯基的协助可能是无意的，例如杀毒软件检测到了已知黑客组织的新样本。
   • 2015年，卡巴斯基研究人员已经详细记录了与NSA有关的Equation Group黑客组织。

5. 故意协助的指控：

   • 《华尔街日报》的一篇报道称，卡巴斯基杀毒软件进行了修改，可能是在至少一名卡巴斯基官员知情的情况下进行的。卡巴斯基官员强烈否认故意提供任何此类协助。

卡巴斯基的生存之战

1. 两种可能的场景：

   • 俄罗斯黑客通过安装在工作人员电脑上的后门访问了不当存储的材料。
   • 黑客在材料从工作人员电脑传输到卡巴斯基服务器的过程中获取了代码。

2. Equation Group恶意软件：

   • 卡巴斯基检测到未知的Equation Group恶意软件，并将其上传到服务器进行分析。分析发现其中包含多个恶意软件样本和源代码。
   • 分析师向CEO报告了事件，并根据要求删除了所有系统中的存档，且未与任何第三方共享。

3. 其他发现：

   • 调查未发现2015年、2016年和2017年其他相关检测，也未发现除2014年“Duqu 2.0”感染外的其他入侵。
   • 调查未发现卡巴斯基产品中创建了针对“绝密”和“机密”等关键词的检测。

卡巴斯基的困境

美国国土安全部最近采取了前所未有的措施，禁止所有联邦政府机构使用卡巴斯基的产品或服务。本月初的指控可能导致美国在全球的盟友采取类似行动。卡巴斯基的调查结果是否能令人信服尚不清楚，但该公司已承诺将调查证据交由可信第三方验证。