Na początku października dziennik „Wall Street Journal” opublikował historię o rzekomym wykorzystaniu oprogramowania firmy Kaspersky Lab w celu pobierania poufnych danych z domowego komputera pracownika amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA). Firma przeprowadziła wewnętrzne dochodzenie w celu zebrania faktów i odniesienia się do wszelkich obaw. Nowe ustalenia wskazują na możliwy dostęp licznych osób trzecich do komputera pracownika NSA zawierającego poufne dane.
Wstępne efekty dochodzenia zostały opublikowane 25 października. Przedstawiono w nich ogólne wyniki podjętych przez firmę działań w celu znalezienia dowodów potwierdzających rzekomy incydent, o którym donosiły media. Opublikowany dzisiaj najnowszy raport potwierdza wstępne wyniki i pozwala na lepsze zrozumienie analizy telemetrii produktów firmy Kaspersky Lab związanej ze wspominanym incydentem. Telemetria ta określa podejrzaną aktywność zarejestrowaną na wspomnianym komputerze w czasie incydentu, który miał miejsce w 2014 r.
Podsumowanie informacji dotyczących incydentu
- 11 września 2014 r. produkt firmy Kaspersky Lab zainstalowany na komputerze użytkownika zlokalizowanego w Stanach Zjednoczonych zarejestrował infekcję, która została prawdopodobnie wywołana przez warianty szkodliwego oprogramowania wykorzystywanego przez Equation – zaawansowane ugrupowanie cyberszpiegowskie, którego aktywność stanowiła przedmiot aktywnego dochodzenia od marca 2014 r.
- Po jakimś czasie użytkownik pobrał i zainstalował na swojej maszynie nielegalną kopię oprogramowania, a dokładnie obraz ISO pakietu Microsoft Office oraz nielegalne narzędzie aktywacyjne dla Microsoft Office 2013 (tzw. generator kluczy).
- W celu zainstalowania nielegalnej kopii Office 2013 użytkownik prawdopodobnie wyłączył produkt firmy Kaspersky Lab na swoim komputerze, ponieważ wykonanie nielegalnego narzędzia aktywacyjnego byłoby niemożliwe, gdyby oprogramowanie antywirusowe działało.
- Nielegalne narzędzie aktywacyjne było zainfekowane szkodliwym oprogramowaniem. Komputer użytkownika był zainfekowany tym szkodnikiem przez nieokreślony czas, podczas którego produkt firmy Kaspersky Lab pozostawał nieaktywny. Szkodnik składał się z pełnej wersji backdoora, dzięki któremu osoby trzecie mogły uzyskać dostęp do maszyny użytkownika.
- Po ponownym włączeniu produkt firmy Kaspersky Lab wykrył szkodnika pod nazwą Backdoor.Win32.Mokes.hvl i zablokował jego próby połączenia się ze zdalnym serwerem kontroli. Szkodnik ten został po raz pierwszy wykryty 4 października 2014 r.
- Ponadto program antywirusowy wykrył również zarówno nowe, jak i znane wcześniej warianty szkodliwego oprogramowania wykorzystywanego przez ugrupowanie Equation.
- Jednym z wykrytych przez produkt plików zaklasyfikowanych jako nowe warianty szkodliwego oprogramowania ugrupowania Equation było archiwum programu 7-Zip, które zostało odesłane do laboratorium antywirusowego Kaspersky Lab celem przeprowadzenia dalszej analizy, zgodnie z umową licencyjną użytkownika końcowego oraz umową Kaspersky Security Network.
- W wyniku analizy ustalono, że archiwum zawiera wiele plików, łącznie ze znanymi i nieznanymi narzędziami ugrupowania Equation, kodem źródłowym oraz dokumentami poufnymi. Analityk zgłosił incydent dyrektorowi generalnemu firmy. Zgodnie z jego poleceniem samo archiwum, kod źródłowy oraz wszelkie poufne dane zostały usunięte w ciągu kilku dni z systemów firmy. Jednak pliki, które stanowią binaria szkodliwego oprogramowania, są obecnie przechowywane przez Kaspersky Lab. Archiwum nie zostało udostępnione żadnej stronie trzeciej.
- Kaspersky Lab usunął te pliki, i zawsze będzie usuwał podobne pliki w przyszłości, z dwóch powodów: po pierwsze, udoskonalenie ochrony wymaga jedynie binariów szkodliwego oprogramowania, po drugie, firma posiada obawy dotyczące postępowania z potencjalnie tajnymi materiałami.
- W wyniku tego incydentu opracowano nową politykę obejmującą wszystkich analityków szkodliwego oprogramowania: obecnie mają oni obowiązek usuwać wszelkie potencjalnie tajne materiały, które zostały przypadkowo zebrane podczas badania przeprowadzonego przez oprogramowanie antywirusowe.
- Dochodzenie nie ujawniło innych podobnych incydentów w 2015, 2016 ani 2017 r.
- Do dziś żadne inne włamanie poza Duqu 2.0 nie zostało wykryte w sieciach firmy Kaspersky Lab.
Aby dodatkowo zwiększyć obiektywność wewnętrznego dochodzenia, przeprowadzono je z udziałem różnych badaczy, w tym analityków, którzy nie pochodzą z Rosji i pracują poza tym krajem, w celu uniknięcia potencjalnych oskarżeń o wywieranie wpływu.
Jedno z głównych ustaleń dochodzenia ujawniło, że komputer, którego dotyczył incydent, został zainfekowany backdoorem Mokes – szkodliwym oprogramowaniem, które umożliwia cyberprzestępcom zdalny dostęp do zarażonej maszyny. W ramach dochodzenia badacze z Kaspersky Lab przyjrzeli się dokładniej temu backdoorowi, jak również innym danym telemetrycznym niezwiązanym z zagrożeniem Equation, które zostały wysłane z tego komputera.
- Interesujące informacje dotyczące backdoora Mokes
Powszechnie wiadomo, że backdoor Mokes (znany również jako „Smoke Bot” lub „Smoke Loader”) pojawił się na rosyjskich podziemnych forach, gdy został zaoferowany do nabycia w 2011 r. Z badania przeprowadzonego przez Kaspersky Lab wynika, że w okresie od września do listopada 2014 r. serwery kontroli tego szkodnika były zarejestrowane prawdopodobnie na chiński podmiot działający pod nazwą „Zhou Lou”. Głębsza analiza telemetrii Kaspersky Lab wykazała, że backdoor Mokes być może nie był jedynym szkodliwym oprogramowaniem, które zainfekowało omawiany komputer w momencie owego incydentu, ponieważ na tej samej maszynie zostały wykryte również inne nielegalne narzędzia służące do pirackiego aktywowania oprogramowania.
- Inne szkodliwe oprogramowanie niezwiązane z zagrożeniem Equation
Na przestrzeni dwóch miesięcy produkt Kaspersky Lab wygenerował alarmy dotyczące 121 obiektów szkodliwego oprogramowania niezwiązanego z ugrupowaniem Equation: backdoorów, exploitów, trojanów oraz programów AdWare. Wszystkie te ostrzeżenia, w połączeniu z ograniczoną ilością dostępnych danych telemetrycznych, oznaczają, że chociaż firma może potwierdzić zidentyfikowanie zagrożeń przez produkt Kaspersky Lab, nie jest możliwe stwierdzenie, czy były one wykonywane w czasie, gdy produkt był wyłączony.
Kaspersky Lab nadal bada pozostałe próbki szkodliwego oprogramowania. Dalsze wyniki zostaną opublikowane, jak tylko analiza zostanie ukończona.
Ogólne wnioski z dochodzenia są następujące:
- Oprogramowanie Kaspersky Lab działało zgodnie z oczekiwaniami i przekazało analitykom ostrzeżenia wygenerowane na podstawie sygnatur stworzonych w celu wykrywania szkodliwego oprogramowania ugrupowania Equation, które już od sześciu miesięcy stanowiło przedmiot dochodzenia. Wszystkie te działania zostały wykonanie zgodnie z zasadami funkcjonowania określonej funkcjonalności produktu Kaspersky Lab, opisanej w umowie, którą użytkownik zaakceptował podczas instalacji tego oprogramowania.
- Informacje uważane za potencjalnie tajne zostały usunięte, ponieważ były zawarte w archiwum, którego dotyczył alarm uruchomiony na podstawie sygnatury szkodliwego oprogramowania charakterystycznego dla Equation.
- Oprócz szkodliwego oprogramowania archiwum zawierało również prawdopodobnie kod źródłowy szkodliwego oprogramowania ugrupowania Equation oraz cztery dokumenty programu MS Word oznaczone klauzulą tajności. Kaspersky Lab nie znajduje się w posiadaniu informacji dotyczących zawartości dokumentów, ponieważ zostały one usunięte po kilku dniach.
- Kaspersky Lab nie może ocenić, czy z danymi tymi „obchodzono się w odpowiedni sposób” (tj. zgodnie ze standardami rządu amerykańskiego), ponieważ analitycy firmy nie przeszli szkolenia w zakresie postępowania z tajnymi informacjami amerykańskimi ani nie są do tego zobowiązani na mocy prawa. Informacje te nie zostały udostępnione żadnym stronom trzecim.
- Wbrew licznym publikacjom, jakie pojawiły się w mediach, nie znaleziono żadnych dowodów potwierdzających, że badacze z Kaspersky Lab kiedykolwiek próbowali opublikować „ciche” sygnatury mające na celu wyszukiwanie dokumentów zawierających takie sformułowania jak „top secret”, „classified” czy inne podobne frazy.
- Infekcja backdoorem Mokes oraz potencjalne infekcje szkodliwym oprogramowaniem innym niż należące do ugrupowania Equation wskazują na możliwość wycieku danych użytkownika do nieznanej liczby osób trzecich w wyniku zdalnego dostępu do komputera.
Raport techniczny z wewnętrznego dochodzenia jest dostępny w języku angielskim na stronie https://r.kaspersky.pl/c3jhk. Analiza techniczna backdoora Mokes jest dostępna w języku angielskim na stronie https://r.kaspersky.pl/wu5kB.
Źródło: Kaspersky Lab