La inceputul lunii octombrie, a fost publicat un articol in Wall Street Journal, in care se afirma ca software-ul Kaspersky Lab a fost folosit pentru a descarca informatii clasificate de pe calculatorul de acasa al unui angajat NSA. Kaspersky Lab combate de peste 20 de ani spionajul cibernetic si infractionalitatea cibernetica, prin urmare aceste acuzatii au fost luate foarte in serios de companie. Kaspersky Lab a derulat o investigatie interna pentru a obtine dovezi si a raspunde motivelor de ingrijorare.

Rezultatele preliminarii ale investigatiei au fost publicate pe 25 octombrie. Acestea contin principalele rezultate ale procesului de cautare de dovezi inceput de companie, referitor la cele relatate de mass-media. Noul raport confirma descoperirile initiale si ofera detalii obtinute din analiza datelor de telemetrie ale produselor Kaspersky Lab privind incidentul. Datele telemetrice descriu activitatea suspecta inregistrata pe computerul in cauza in perioada incidentului, care a avut loc in 2014.

Rezumatul contextului:

  • Pe 11 septembrie 2014, un produs Kaspersky Lab instalat pe un computer din SUA a semnalat infectarea cu ceea ce pareau a fi variante din malware-ul folosit de grupul Equation  – un atacator complex a carui activitate era investigata din martie 2014.
  • Dupa aceea, utilizatorul pare sa fi descarcat si instalat software piratat pe acest dispozitiv, mai exact un fisier Microsoft Office ISO si un instrument de activare a unei licente frauduloase Microsoft Office 2013 (cunoscut si sub denumirea de “keygen”).
  • Pentru a instala copia piratata de Office 2013, utilizatorul pare sa fi dezactivat produsul Kaspersky Lab de pe computer, pentru ca nu ar fi fost posibila executarea acestui program pentru activarea unei licente frauduloase, cu antivirusul pornit.
  • Programul de activare a unei licente frauduloase continut de Office ISO era infectat cu malware. Utilizatorul a fost infectat cu acest malware pentru o perioada de timp nedeterminata, in timp ce produsul Kaspersky Lab era inactiv. Malware-ul era format dintr-un backdoor care ar fi putut permite unor terti sa acceseze dispozitivul utilizatorului.
  • Atunci cand a fost activat din nou, produsul Kaspersky Lab a detectat malware-ul cu verdictul Backdoor.Win32.Mokes.hvl si i-a blocat comunicarea cu un server de comanda si control cunoscut. Prima detectie a acestui program malware de instalare a fost pe 4 octombrie 2014.
  • In plus, produsul antivirus a detectat si niste variante noi, care nu mai fusesera vazute anterior, de malware apartinand APT-ului Equation.
  • Unul dintre fisierele detectate de produs ca noi variante de malware Equation a fost o arhiva 7zip, care a fost trimisa inapoi, conform acordurilor cu utilizatorul final si KSN, la Kaspersky Virus Lab, pentru o analiza suplimentara.
  • In urma analizei, s-a descoperit ca arhiva continea numeroase fisiere, inclusiv instrumente cunoscute si necunoscute ale grupului Equation, codul sursa, precum si documente clasificate. Analistul a raportat CEO-ului incidentul. In urma solicitarii CEO-ului, arhiva, codul sursa si orice informatii potential clasificate au fost sterse din sistemele companiei, in urmatoarele zile. Cu toate acestea, fisiere binare legitime sunt in prezent in posesia Kaspersky Lab. Arhiva nu a fost transmisa catre nicio alta terta parte.
  • Motivul pentru care Kaspersky Lab a sters acele fisiere si va sterge unele similare si pe viitor este dublu: in primul rand, are nevoie doar de binare malware pentru a-si imbunatati protectia si, in al doilea rand, manevrarea unor materiale potential clasificiate trezeste o anumita ingrijorare.
  • Din cauza acestui incident, a fost creata o noua politica pentru toti analistii malware: acum li se cere sa stearga orice material posibil clasificat care a fost colectat accidental in timpul cercetarii anti-malware.
  • Investigatia nu a scos la iveala niciun alt incident similar in 2015, 2016 sau 2017.
  • Pana in prezent, nu a mai fost detectata prezenta niciunui intrus in retelele Kaspersky Lab, in afara de cazul Duqu 2.0.

Pentru a asigura obiectivitatea investigatiei interne, am realizat-o folosind numerosi analisti, printre care unii de origine non-rusa si care lucreaza in afara Rusiei, pentru a evita orice potentiale acuzatii sau influenta.

Alte descoperiri

Una dintre descoperirile importante de la inceputul investigatiei a fost aceea ca PC-ul in cauza a fost infectat cu backdoor-ul Mokes – un malware care permite utilizatorilor rau-intentionati sa obtina acces de la distanta la un computer. In cursul investigatiei, cercetatorii Kaspersky Lab s-au uitat mai atent la acest backdoor si la alte date de telemetrie care nu au legatura cu Equation, trimise de pe computer.

  • Backdoor-ul Mokes are un istoric ciudat

Se stie ca backdoor-ul Mokes (cunoscut si ca Smoke Bot sau Smoke Loader) a aparut pe forumurile underground din Rusia, fiind pus in vanzare in 2011. Cercetarea Kaspersky Lab arata ca, in perioada septembrie – noiembrie 2014, serverele de comanda si control ale acestui malware au fost inregistrate pe numele unei entitati care pare a fi din China, cunoscuta sub numele “Zhou Lou”. In plus, o analiza suplimentara a telemetriei Kaspersky Lab a aratat ca este posibil ca backdoor-ul Mokes sa nu fi fost singurul malware care infecta PC-ul in cauza, in perioada incidentului, pentru ca pe aparat au fost detectate si alte programe de activare de licente frauduloase si “keygens”.

  • Malware non-Equation

Pe parcursul a doua luni, produsul a raportat semnale de alarma privind 121 de mostre de malware non-Equation: backdoor-uri, exploit-uri, troieni si Adware. Toate aceste alerte, coroborate cu o cantitate limitata de date telemetrice, inseamna ca putem confirma ca produsul a detectat amenintarile, dar este imposibil de determinat daca au fost puse in executare in perioada in care produsul a fost dezactivat.

Kaspersky Lab continua sa cerceteze celelalte mostre malware si urmeaza sa fie publicate alte rezultate, in momentul in care analiza va fi finalizata.

Concluzii:

  • Soft-ul Kaspersky Lab s-a comportat cum era de asteptat si i-a notificat pe analistii nostri de alerte in legatura cu semnaturile scrise, pentru a detecta malware-ul grupului Equation, care era deja sub investigatie, de sase luni. Toate acestea sunt in concordanta cu descrierea functionalitatii produsului, cu scenariile si documentele juridice cu care utilizatorul a fost de acord inainte de instalarea programului.
  • Ceea ce se crede a fi fost informatie clasificata a fost retinut pentru ca aceasta era continuta in arhiva care includea semnatura de malware Equation.
  • In afara de malware, arhiva continea si ceva ce parea a fi codul sursa pentru malware-ul Equation si patru documente Word care purtau marcile “clasificat”. Kaspersky Lab nu detine informatii despre continutul acestor documente pentru ca au fost sterse cateva zile mai tarziu.
  • Kaspersky Lab nu poate aprecia daca aceste informatii au fost “manevrate corespunzator” (potrivit normelor guvernului american), din moment ce analistii nostri nu au fost pregatiti in legatura cu modul de gestionare a unor informatii clasificate ale SUA si nici nu au obligatia legala de a proceda astfel. Informatia nu fost dezvaluita nici unei alte parti terte.
  • Contrar celor aparute in multe publicatii, nu a fost gasita nicio dovada ca cercetatorii Kaspersky Lab au incercat vreodata sa emita semnaturi “silentioase”, menite sa caute documente cu ajutorul unor cuvinte precum “top secret”, “clasificat” si alte cuvinte similare.
  • Infectarea cu backdoor-ul Mokes si alte potentiale infectari cu programe malware non-Equation indica posibilitatea ca date ale utilizatorului sa se fi “scurs” catre un numar necunoscut de terti, ca urmare a accesului de la distanta la computer.

Fiind o companie transparenta, Kaspersky Lab este gata sa ofere informatii suplimentare despre investigatie, intr-o maniera responsabila, unor terti relevanti din organizatii guvernamentale si din partea clientilor ingrijorati de recentele articole.

Puteti citi raportul complet aici, precum si analiza tehnica a backdoor-ului Mokes aici.