Bit9公司在2月8日發(fā)表blog公告受入侵對(duì)客戶影響情況。Bit9已經(jīng)接到報(bào)告稱其客戶發(fā)現(xiàn)在受bit9保護(hù)的網(wǎng)絡(luò)內(nèi)出現(xiàn)了由bit9簽發(fā)電子證書的惡意軟件。

傳統(tǒng)的殺毒軟件往往是以“黑名單模式”工作，把惡意軟件隔離或清除，而Bit9的理念是“白名單”模式，只有允許的軟件才能被運(yùn)行。美國(guó)政府和至少30家財(cái)富100的企業(yè)都使用它的服務(wù)?？梢哉f是企業(yè)軟件白名單技術(shù)（Whitelisting）的先驅(qū)。安裝了bit9 agent的客戶端只會(huì)允許白名單內(nèi)的軟件運(yùn)行，當(dāng)然也會(huì)完全信任簽發(fā)了bit9電子證書的軟件，本次出現(xiàn)的情況就類似當(dāng)年RSA的雙因子遭竊，處理不好將直接影響到bit9的使用用戶安全。

根據(jù)報(bào)道所述，攻擊者設(shè)法攻擊了bit9的系統(tǒng)，而該系統(tǒng)并未使用bit9自身產(chǎn)品進(jìn)行保護(hù)，闖入系統(tǒng)后，竊取了bit9的secret code-signing certificates。按照官方的說法是“由于運(yùn)維的故障，我們沒有在一小部分bit9網(wǎng)絡(luò)里的計(jì)算機(jī)安裝bit9產(chǎn)品。導(dǎo)致第三方惡意軟件可以臨時(shí)的，非法訪問了我們其中一個(gè)代碼簽名證書（digital code-signing certificates ），從而可為惡意軟件簽署了bit9的電子代碼簽名”。bit9的公告稱仍在調(diào)查入侵的源頭，目前bit9旗下至少3名客戶報(bào)告發(fā)現(xiàn)有bit9簽署的惡意代碼。

而有專家指出這次事件極可能是一起定向攻擊的開端，攻擊者真正的目的是攻擊受bit9保護(hù)的企業(yè)，于是先從bit9下手攻擊。

bit9表示目前已經(jīng)撤銷了受影響的證書，并清除了之前的運(yùn)維故障，在所有的bit9物理及虛擬機(jī)環(huán)境內(nèi)安裝了bit9產(chǎn)品。并且會(huì)更新bit9產(chǎn)品去檢測(cè)和停止執(zhí)行使用該證書的惡意軟件。