Kaspersky Lab după ancheta internă privind un incident cibernetic din SUA: Este posibil ca mai mulţi terţi să fi avut acces la un computer cu informaţii clasificate

Compania de produse antivirus Kaspersky Lab a prezentat, într-un comunicat remis MEDIAFAX, rezultatele unei investigaţii interne privind un incident cibernetic din SUA, precizând că este posibil ca mai mulţi terţi să fi avut acces la un computer cu informaţii clasificate.

281 afișări
Imaginea articolului Kaspersky Lab după ancheta internă privind un incident cibernetic din SUA:  Este posibil ca mai mulţi terţi să fi avut acces la un computer cu informaţii clasificate

Kaspersky Lab după acnheta internă interne privind un incident cibernetic din SUA

La începutul lunii octombrie, a fost publicat un articol în Wall Street Journal, în care se afirma că software-ul Kaspersky Lab a fost folosit pentru a descărca informaţii clasificate de pe calculatorul de acasă al unui angajat al Agenţiei americane pentru Siguranţă Naţională (NSA). "Kaspersky Lab combate de peste 20 de ani spionajul cibernetic şi infracţionalitatea cibernetică, prin urmare aceste acuzaţii au fost luate foarte în serios de companie. Kaspersky Lab a derulat o investigaţie internă pentru a obţine dovezi şi a răspunde motivelor de îngrijorare", precizează Kaspersky Lab în comunicatul transmis agenţiei MEDIAFAX.

Rezultatele preliminarii ale investigaţiei au fost publicate pe 25 octombrie. Acestea conţin principalele rezultate ale procesului de căutare de dovezi început de companie, referitor la cele relatate de mass-media. Noul raport confirmă descoperirile iniţiale şi oferă detalii obţinute din analiza datelor de telemetrie ale produselor Kaspersky Lab privind incidentul. Datele telemetrice descriu activitatea suspectă înregistrată pe computerul în cauză în perioada incidentului, care a avut loc în 2014.

Rezumatul contextului:

• Pe 11 septembrie 2014, un produs Kaspersky Lab instalat pe un computer din SUA a semnalat infectarea cu ceea ce păreau a fi variante din malware-ul folosit de grupul Equation - un atacator complex a cărui activitate era investigată din martie 2014.
• După aceea, utilizatorul pare să fi descărcat şi instalat software piratat pe acest dispozitiv, mai exact un fişier Microsoft Office ISO şi un instrument de activare a unei licenţe frauduloase Microsoft Office 2013 (cunoscut şi sub denumirea de “keygen”).
• Pentru a instala copia piratată de Office 2013, utilizatorul pare să fi dezactivat produsul Kaspersky Lab de pe computer, pentru că nu ar fi fost posibilă executarea acestui program pentru activarea unei licenţe frauduloase, cu antivirusul pornit.
• Programul de activare a unei licenţe frauduloase conţinut de Office ISO era infectat cu malware. Utilizatorul a fost infectat cu acest malware pentru o perioadă de timp nedeterminată, în timp ce produsul Kaspersky Lab era inactiv. Malware-ul era format dintr-un backdoor care ar fi putut permite unor terţi să acceseze dispozitivul utilizatorului.
• Atunci când a fost activat din nou, produsul Kaspersky Lab a detectat malware-ul cu verdictul Backdoor.Win32.Mokes.hvl şi i-a blocat comunicarea cu un server de comandă şi control cunoscut. Prima detecţie a acestui program malware de instalare a fost pe 4 octombrie 2014.
• În plus, produsul antivirus a detectat şi nişte variante noi, care nu mai fuseseră văzute anterior, de malware aparţinând APT-ului Equation.
• Unul dintre fişierele detectate de produs ca noi variante de malware Equation a fost o arhivă 7zip, care a fost trimisă înapoi, conform acordurilor cu utilizatorul final şi KSN, la Kaspersky Virus Lab, pentru o analiză suplimentară.
• În urma analizei, s-a descoperit că arhiva conţinea numeroase fişiere, inclusiv instrumente cunoscute şi necunoscute ale grupului Equation, codul sursă, precum şi documente clasificate. Analistul a raportat CEO-ului incidentul. În urma solicitării CEO-ului, arhiva, codul sursă şi orice informaţii potenţial clasificate au fost şterse din sistemele companiei, în următoarele zile. Cu toate acestea, fişiere binare legitime sunt în prezent în posesia Kaspersky Lab. Arhiva nu a fost transmisă către nicio altă terţă parte.
• Motivul pentru care Kaspersky Lab a şters acele fişiere şi va şterge unele similare şi pe viitor este dublu: în primul rând, are nevoie doar de binare malware pentru a-şi îmbunătăţi protecţia şi, în al doilea rând, manevrarea unor materiale potenţial clasificiate trezeşte o anumită îngrijorare.
• Din cauza acestui incident, a fost creată o nouă politică pentru toţi analiştii malware: acum li se cere să şteargă orice material posibil clasificat care a fost colectat accidental în timpul cercetării anti-malware.

"Investigaţia nu a scos la iveală niciun alt incident similar în 2015, 2016 sau 2017. Până în prezent, nu a mai fost detectată prezenţa niciunui intrus în reţelele Kaspersky Lab, în afară de cazul Duqu 2.0. Pentru a asigura obiectivitatea investigaţiei interne, am realizat-o folosind numeroşi analişti, printre care unii de origine non-rusă şi care lucrează în afara Rusiei, pentru a evita orice potenţiale acuzaţii sau influenţă", precizează Kaspersky Lab.

"Una dintre descoperirile importante de la începutul investigaţiei a fost aceea că PC-ul în cauză a fost infectat cu backdoor-ul Mokes - un malware care permite utilizatorilor rău-intenţionaţi să obţină acces de la distanţă la un computer. În cursul investigaţiei, cercetătorii Kaspersky Lab s-au uitat mai atent la acest backdoor şi la alte date de telemetrie care nu au legătură cu Equation, trimise de pe computer. Se ştie că backdoor-ul Mokes (cunoscut şi ca Smoke Bot sau Smoke Loader) a apărut pe forumurile underground din Rusia, fiind pus în vânzare în 2011. Cercetarea Kaspersky Lab arată că, în perioada septembrie–noiembrie 2014, serverele de comandă şi control ale acestui malware au fost înregistrate pe numele unei entităţi care pare a fi din China, cunoscută sub numele “Zhou Lou”. În plus, o analiză suplimentară a telemetriei Kaspersky Lab a arătat că este posibil ca backdoor-ul Mokes să nu fi fost singurul malware care infecta PC-ul în cauză, în perioada incidentului, pentru că pe aparat au fost detectate şi alte programe de activare de licenţe frauduloase şi “keygens”. Pe parcursul a două luni, produsul a raportat semnale de alarmă privind 121 de mostre de malware non-Equation: backdoor-uri, exploit-uri, troieni şi Adware. Toate aceste alerte, coroborate cu o cantitate limitată de date telemetrice, înseamnă că putem confirma că produsul a detectat ameninţările, dar este imposibil de determinat dacă au fost puse în executare în perioada în care produsul a fost dezactivat.
Kaspersky Lab continuă să cerceteze celelalte mostre malware şi urmează să fie publicate alte rezultate, în momentul în care analiza va fi finalizată.

Concluziile investigaţiei interne a Kaspersky Lab:

• Soft-ul Kaspersky Lab s-a comportat cum era de aşteptat şi i-a notificat pe analiştii noştri de alerte în legătură cu semnăturile scrise, pentru a detecta malware-ul grupului Equation, care era deja sub investigaţie, de şase luni. Toate acestea sunt în concordanţă cu descrierea funcţionalităţii produsului, cu scenariile şi documentele juridice cu care utilizatorul a fost de acord înainte de instalarea programului.
• Ceea ce se crede a fi fost informaţie clasificată a fost reţinut pentru că aceasta era conţinută în arhiva care includea semnătura de malware Equation.
• În afară de malware, arhiva conţinea şi ceva ce părea a fi codul sursă pentru malware-ul Equation şi patru documente Word care purtau mărcile “clasificat”. Kaspersky Lab nu deţine informaţii despre conţinutul acestor documente pentru că au fost şterse câteva zile mai târziu.
• Kaspersky Lab nu poate aprecia dacă aceste informaţii au fost “manevrate corespunzător” (potrivit normelor guvernului american), din moment ce analiştii noştri nu au fost pregătiţi în legătură cu modul de gestionare a unor informaţii clasificate ale SUA şi nici nu au obligaţia legală de a proceda astfel. Informaţia nu fost dezvăluită nici unei alte părţi terţe.
• Contrar celor apărute în multe publicaţii, nu a fost găsită nicio dovadă că cercetătorii Kaspersky Lab au încercat vreodată să emită semnături “silenţioase”, menite să caute documente cu ajutorul unor cuvinte precum “top secret”, “clasificat” şi alte cuvinte similare.
• Infectarea cu backdoor-ul Mokes şi alte potenţiale infectări cu programe malware non-Equation indică posibilitatea ca date ale utilizatorului să se fi “scurs” către un număr necunoscut de terţi, ca urmare a accesului de la distanţă la computer.

"Fiind o companie transparentă, Kaspersky Lab este gata să ofere informaţii suplimentare despre investigaţie, într-o manieră responsabilă, unor terţi relevanţi din organizaţii guvernamentale şi din partea clienţilor îngrijoraţi de recentele articole", precizează comunicatul.

Conținutul website-ului www.mediafax.ro este destinat exclusiv informării și uzului dumneavoastră personal. Este interzisă republicarea conținutului acestui site în lipsa unui acord din partea MEDIAFAX. Pentru a obține acest acord, vă rugăm să ne contactați la adresa vanzari@mediafax.ro.

 

Preluarea fără cost a materialelor de presă (text, foto si/sau video), purtătoare de drepturi de proprietate intelectuală, este aprobată de către www.mediafax.ro doar în limita a 250 de semne. Spaţiile şi URL-ul/hyperlink-ul nu sunt luate în considerare în numerotarea semnelor. Preluarea de informaţii poate fi făcută numai în acord cu termenii agreaţi şi menţionaţi aici