2013年震惊全球的“棱镜门”事件,随着更多绝密资料的公开揭开了更多的秘密。昨天,斯诺登文件的一部分再次公开。在这份代号为“CAMBERDADA”的计划中,美国情报机构的NSA和英国的GCHQ对于反病毒厂商进行跟踪和监视,以中途获取这些厂商用户上报给厂商的病毒样本。这些厂商是除英美厂商之外的23家其他国家的反病毒厂商,其中作为主要目标的是前不久被DUQU 2.0攻击的俄罗斯反病毒行业的巨头卡巴斯基。此外被列入目标的还包括芬兰公司f -Secure,罗马尼亚的BitDefender,德国的小红伞,斯洛伐克的ESET,韩国的安博士,捷克的AVG和AVAST等,在此榜单上,还有中国的反病毒厂商安天。
文档列举的“目标厂商”
这份名单列出的反病毒厂商均是“五只眼”情报联盟之外其他国家的厂商,而英美的反病毒企业如:赛门铁克、趋势、迈克菲、索福斯(Sophos)等均不在监控目标之内。从各方面综合报道来看,美国情报机构选择目标的标准,多数针对在“不是自己人”的厂商中根据技术能力进行判断。但还有一些厂商的出现,纯粹是因为跟卡巴斯基的技术上的联系,比如以色列是美国的重要盟友,但以色列著名安全厂商Check Point和ZoneAlarm,由于在其安全产品中使用了卡巴斯基的反病毒引擎也被列入了此名单。
而据安全专家分析,如果用户向反病毒厂商上报样本邮件途径美国监控的网络节点,就会被还原下来,美国情报机构可以获取这些样本,可以重新利用。同时也能观察安全厂商对样本的响应能力。美、英、以色列等西方情报机构一再在寻求绕开安全防御手段的方法,以实现更深入隐蔽的入侵。这正好解释了在此前,在全球范围内拥有超过4亿用户的卡巴斯基实验室遭入侵的原因,卡巴斯基在报告中就指出,“入侵者的意图在于学习反病毒软件”。用户人工提交给厂商的样本往往是能够绕过厂商检测的样本,而NSA获取了这些样本的技巧就有利于所编写的木马避免被反病毒厂商检测到。相关报道也指出,“反病毒厂商的产品必然会成为入侵行动的阻碍,所以利用对软件的“反向工程”等手法来找出弱点所在,才能为情报机构的入侵计划扫清障碍。”
而此次,代号为“CAMBERDADA”的项目中所列举的厂商,显然就成了相关情报机构入侵行动的绊脚石。卡巴斯基在震网、方程式等进行的分析,显然让美国颜面无光;而安天也曾公开发布对震网、火焰等攻击行动的长篇分析报告。在相关文档中,有一段话解释了“CAMBERDADA”的目的:“类似卡巴斯基反病毒软件的这类安全产品持续对GCHQ的行动能力构成挑战,而SRE(软件反向工程)的目的就是要一直跟踪此类软件的能力,否则我们的行为将被检测到”。
