Informația a plecat, la începutul lunii octombrie, dintr-un material publicat pe Wall Street Journal, iar analiștii companiei au vrut să obțină dovezi și să răspundă motivelor de îngrijorare.

Rezultatele preliminarii ale investigației confirmă descoperirile inițiale și oferă detalii obținute din analiza datelor de telemetrie ale produselor Kaspersky Lab privind incidentul. Datele telemetrice descriu activitatea suspectă înregistrată pe computerul în cauză în perioada incidentului, care a avut loc în 2014.

Rezumatul contextului

  • Pe 11 septembrie 2014, un produs Kaspersky Lab instalat pe un computer din SUA a semnalat infectarea cu ceea ce păreau a fi variante din malware-ul folosit de grupul Equation - un atacator complex a cărui activitate era investigată din martie 2014.
  • După aceea, utilizatorul pare să fi descărcat și instalat software piratat pe acest dispozitiv, mai exact un fișier Microsoft Office ISO și un instrument de activare a unei licențe frauduloase Microsoft Office 2013 (cunoscut și sub denumirea de “keygen”).
  • Pentru a instala copia piratată de Office 2013, utilizatorul pare să fi dezactivat produsul Kaspersky Lab de pe computer, pentru că nu ar fi fost posibilă executarea acestui program pentru activarea unei licențe frauduloase, cu antivirusul pornit.
  • Programul de activare a unei licențe frauduloase conținut de Office ISO era infectat cu malware. Utilizatorul a fost infectat cu acest malware pentru o perioadă de timp nedeterminată, în timp ce produsul Kaspersky Lab era inactiv. Malware-ul era format dintr-un backdoor care ar fi putut permite unor terți să acceseze dispozitivul utilizatorului.
  • Atunci când a fost activat din nou, produsul Kaspersky Lab a detectat malware-ul cu verdictul Backdoor.Win32.Mokes.hvl și i-a blocat comunicarea cu un server de comandă și control cunoscut. Prima detecție a acestui program malware de instalare a fost pe 4 octombrie 2014.
  • În plus, produsul antivirus a detectat și niște variante noi, care nu mai fuseseră văzute anterior, de malware aparținând APT-ului Equation.
  • Unul dintre fișierele detectate de produs ca noi variante de malware Equation a fost o arhivă 7zip, care a fost trimisă înapoi, conform acordurilor cu utilizatorul final și KSN, la Kaspersky Virus Lab, pentru o analiză suplimentară.
  • În urma analizei, s-a descoperit că arhiva conținea numeroase fișiere, inclusiv instrumente cunoscute și necunoscute ale grupului Equation, codul sursă, precum și documente clasificate. Analistul a raportat CEO-ului incidentul. În urma solicitării CEO-ului, arhiva, codul sursă și orice informații potențial clasificate au fost șterse din sistemele companiei, în următoarele zile. Cu toate acestea, fișiere binare legitime sunt în prezent în posesia Kaspersky Lab. Arhiva nu a fost transmisă către nicio altă terță parte.
  • Motivul pentru care Kaspersky Lab a șters acele fișiere și va șterge unele similare și pe viitor este dublu: în primul rând, are nevoie doar de binare malware pentru a-și îmbunătăți protecția și, în al doilea rând, manevrarea unor materiale potențial clasificiate trezește o anumită îngrijorare.
  • Din cauza acestui incident, a fost creată o nouă politică pentru toți analiștii malware: acum li se cere să șteargă orice material posibil clasificat care a fost colectat accidental în timpul cercetării anti-malware.
  • Investigația nu a scos la iveală niciun alt incident similar în 2015, 2016 sau 2017.
  • Până în prezent, nu a mai fost detectată prezența niciunui intrus în rețelele Kaspersky Lab, în afară de cazul Duqu 2.0.

Pentru a asigura obiectivitatea investigației interne, Kaspersky a folosit numeroși analiști, printre care unii de origine non-rusă și care lucrează în afara Rusiei, pentru a evita orice potențiale acuzații sau influență.

Alte descoperiri ale investigației Kaspersky Lab

Una dintre descoperirile importante de la începutul investigației a fost aceea că PC-ul în cauză a fost infectat cu backdoor-ul Mokes - un malware care permite utilizatorilor rău-intenționați să obțină acces de la distanță la un computer. În cursul investigației, cercetătorii Kaspersky Lab s-au uitat mai atent la acest backdoor și la alte date de telemetrie care nu au legătură cu Equation, trimise de pe computer.

  • Backdoor-ul Mokes are un istoric ciudat

Se știe că backdoor-ul Mokes (cunoscut și ca Smoke Bot sau Smoke Loader) a apărut pe forumurile underground din Rusia, fiind pus în vânzare în 2011. Cercetarea Kaspersky Lab arată că, în perioada septembrie – noiembrie 2014, serverele de comandă și control ale acestui malware au fost înregistrate pe numele unei entități care pare a fi din China, cunoscută sub numele “Zhou Lou”. În plus, o analiză suplimentară a telemetriei Kaspersky Lab a arătat că este posibil ca backdoor-ul Mokes să nu fi fost singurul malware care infecta PC-ul în cauză, în perioada incidentului, pentru că pe aparat au fost detectate și alte programe de activare de licențe frauduloase și “keygens”.

  • Malware non-Equation

Pe parcursul a două luni, produsul a raportat semnale de alarmă privind 121 de mostre de malware non-Equation: backdoor-uri, exploit-uri, troieni și Adware. Toate aceste alerte, coroborate cu o cantitate limitată de date telemetrice, înseamnă că putem confirma că produsul a detectat amenințările, dar este imposibil de determinat dacă au fost puse în executare în perioada în care produsul a fost dezactivat.

Kaspersky Lab continuă să cerceteze celelalte mostre malware și urmează să fie publicate alte rezultate, în momentul în care analiza va fi finalizată.

Concluzii

  • Soft-ul Kaspersky Lab s-a comportat cum era de așteptat și i-a notificat pe analiștii de alerte în legătură cu semnăturile scrise, pentru a detecta malware-ul grupului Equation, care era deja sub investigație, de șase luni. Toate acestea sunt în concordanță cu descrierea funcționalității produsului, cu scenariile și documentele juridice cu care utilizatorul a fost de acord înainte de instalarea programului.
  • Ceea ce se crede a fi fost informație clasificată a fost reținut pentru că aceasta era conținută în arhiva care includea semnătura de malware Equation.
  • În afară de malware, arhiva conținea și ceva ce părea a fi codul sursă pentru malware-ul Equation și patru documente Word care purtau mărcile “clasificat”. Kaspersky Lab nu deține informații despre conținutul acestor documente pentru că au fost șterse câteva zile mai târziu.
  • Kaspersky Lab nu poate aprecia dacă aceste informații au fost “manevrate corespunzător” (potrivit normelor guvernului american), din moment ce analiștii noștri nu au fost pregătiți în legătură cu modul de gestionare a unor informații clasificate ale SUA și nici nu au obligația legală de a proceda astfel. Informația nu fost dezvăluită nici unei alte părți terțe.
  • Contrar celor apărute în multe publicații, nu a fost găsită nicio dovadă că cercetătorii Kaspersky Lab au încercat vreodată să emită semnături “silențioase”, menite să caute documente cu ajutorul unor cuvinte precum “top secret”, “clasificat” și alte cuvinte similare.
  • Infectarea cu backdoor-ul Mokes și alte potențiale infectări cu programe malware non-Equation indică posibilitatea ca date ale utilizatorului să se fi “scurs” către un număr necunoscut de terți, ca urmare a accesului de la distanță la computer.