卡巴斯基：国家安全局工作人员的计算机已经感染了恶意软件

总部位于莫斯科的网络安全公司卡巴斯基实验室（Kaspersky Lab）周四公布了自己的内部调查结果，称将机密文件带回家的NSA工作人员有一台个人家用电脑被恶意软件淹没。

根据卡巴斯基的最新报告，其反病毒软件从NSA工作人员的家用电脑上收集的遥测数据包含大量恶意软件文件，充当了电脑的后门。
该报告还提供了更多有关NSA工作人员安装盗版版Microsoft Office 2013时感染其计算机的恶意后门的详细信息。ISO包含烟雾后门，也称为烟雾装载机。

NSA工作人员个人电脑上的后门可能帮助其他黑客窃取机密文件

这个后门可能会让其他黑客从该雇员的机器上窃取属于NSA的机密文件和黑客工具，该雇员为该机构的定制访问操作（TAO）黑客小组工作。

对于那些不知情的人，美国因怀疑卡巴斯基与俄罗斯情报局有牵连并担心间谍活动，已禁止其所有政府电脑上的卡巴斯基防病毒软件。

尽管目前还没有确凿的证据，但美国《华尔街日报》上个月发表的一篇文章称，卡巴斯基杀毒软件帮助俄罗斯政府黑客在2015年从一名工作人员的家用电脑上窃取了属于NSA的高度机密文件和黑客工具。

然而，这篇引用了多个匿名消息来源的文章没有提供任何确凿的证据来证明卡巴斯基是否有意参与俄罗斯间谍活动，或者一些黑客只是利用了防病毒产品中的某个零日漏洞。

卡巴斯基没有辜负其声称的杀毒软件检测并收集NSA机密文件是其正常功能的一部分，并严格否认其将这些文件传递给俄罗斯政府的指控。

现在，在这家反病毒公司最近发布的报告中说，在2014年9月11日至2014年11月17日期间，卡巴斯基实验室服务器多次从位于美国的一台安全性较差的计算机收到NSA机密材料。

该公司安装在该员工个人电脑上的防病毒软件发现，这些文件中包含Equation Group使用的恶意软件。Equation Group是一个14岁的NSA精英黑客组织，2015年被卡巴斯基曝光。

卡巴斯基声称它删除了所有NSA机密文件

除了机密材料，该软件还收集了121个单独的恶意软件样本（包括一个后门），这些样本与等式组无关。
该报告还坚称，一旦该公司的一名分析师意识到该反病毒软件收集了不止一个恶意二进制文件，该公司就删除了所有机密文件。此外，该公司随后创建了一个特殊的软件调整，防止这些文件再次被下载。

卡巴斯基实验室报告写道：“我们删除这些文件并将在未来删除类似文件的原因有两个：我们不需要恶意软件二进制文件以外的任何东西来提高对客户的保护；其次，因为担心潜在机密材料的处理”。“假设这些标记是真实的，这样的信息不能也不会被利用，甚至不会被用来根据描述产生检测特征”。

在NSA工作人员的计算机上发现特洛伊木马

在NSA工作人员的电脑上发现的后门实际上是一个特洛伊木马，后来被确认为“烟雾机器人“或者”烟雾装载机据称是2011年由一名俄罗斯犯罪黑客创建的。它也曾在俄罗斯地下论坛上做过广告。

有趣的是，这个特洛伊木马与指挥和控制服务器通信，显然是由一个名叫“周楼”的中国人使用电子邮件地址设置的zhoulu823@gmail.com."

由于在启用卡巴斯基防病毒软件的情况下不可能执行恶意软件，因此工作人员必须禁用防病毒软件才能执行此操作。

卡巴斯基的报告写道：“考虑到该系统所有者的潜在清除水平，用户可能是民族国家的主要目标”。“再加上用户显然需要破解Windows和Office版本，糟糕的安全操作，以及对似乎是机密材料的不当处理，用户可能已经将信息泄露给了很多人”。

更多关于后门的细节可以在这里找到。

目前，卡巴斯基反病毒软件已被美国国土安全部（DHS）禁止在其所有政府计算机上使用。

在这起事件发生后，卡巴斯基实验室最近启动了一项新的透明度倡议，该倡议涉及让合作伙伴访问其防病毒源代码，并为其产品中发现的安全问题支付巨额漏洞奖金。