r   e   k   l   a   m   a
r   e   k   l   a   m   a

My ich kodu źródłowego nie potrzebujemy – Kaspersky Lab o malware NSA

Strona główna AktualnościBEZPIECZEŃSTWO

Zapowiedziane przez Jewgienija Kasperskiego śledztwo w sprawie domniemanego wykorzystania przez rosyjski wywiad oprogramowania antywirusowego tej firmy do poszukiwania tajemnic USA, jak również domniemanego włamania się przez izraelski wywiad na serwery Kaspersky Lab, przyniosło pierwsze rezultaty. Oczywiście żadnych dowodów na prawdziwość oskarżeń amerykańskich mediów tam nie ma, jednak historia pewnego incydentu z 2014 roku może tylko wzbudzić nasz uśmiech, pokazując, jak kiepsko wyglądało bezpieczeństwo wewnętrzne amerykańskich agencji wywiadowczych już nawet po aferze z Edwardem Snowdenem.

W skrócie mówiąc, Kaspersky Lab faktycznie przyznaje, że wszedł w posiadanie tajnych danych NSA, ale nie było to zamierzone. Chodzi konkretnie o przechwycenie w 2014 roku kodu źródłowego narzędzia stworzonego przez The Equation Group, elitarną grupę hakerów NSA. Gdy o sprawie doniesiono Jewgienijowi Kasperskiemu, nakazać on miał zniszczenie próbki,

Jak wyjaśnia rzeczniczka firmy, Sarah Kitsos, przejęte archiwum zostało skasowane, ponieważ Kaspersky Lab nie potrzebuje kodu źródłowego do ulepszenia technologii zabezpieczających, oraz ze względu na ogólne problemy z przetwarzaniem tajnych materiałów. Zapewnia zarazem, że żadne strony trzecie nie uzyskały dostępu do skasowanego kodu, w szczególności nie został on udostępniony władzom Federacji Rosyjskiej.

r   e   k   l   a   m   a

Na ile wiarygodnie brzmią te deklaracje i na ile sensowna jest zadeklarowana w nich polityka – nie nam oceniać. Może nawet wolelibyśmy, by exploity NSA były wgrywane anonimowo na GitHuba, pozwalając niezależnym badaczom wzmacniać bezpieczeństwo systemów operacyjnych. Całkiem wiarygodnie za to jednak brzmi przedstawiona przez Kaspersky Lab chronologia wydarzeń, które związane były z tym incydentem.

Piractwo, szpiegostwo, malware

Podczas badania trwałych zagrożeń (APT) stworzonych przez The Equation Group, Kaspersky Lab zauważyć miało ich pojawienie się na całym świecie, w ponad 40 krajach. Niektóre z nich zaobserwowano też w USA – tak jakby NSA prowadziło operacje na własnej ziemi. Zgodnie z rutynowymi procedurami, Kaspersky Lab przekazał informacje o tych infekcjach odpowiednim instytucjom amerykańskiej administracji federalnej.

Jedno z wykrytych w USA zagrożeń było wcześniej nieznane i nieodnotowane. 11 sierpnia 2014 roku pewien komputer z przeznaczonym dla użytkowników domowych antywirusem Kasperskiego, włączonym do chmurowej usługi Kaspersky Security Network (KSN), wykrył plik mpdkg32.dll. Chmura Kasperskiego uznała, że jest to szkodnik Trojan.Win32.GrayFish.gen.

W październiku 2014 roku użytkownik komputera, na którym wykryto tego szkodnika, pobrał sobie piracką kopię Microsoft Office, a wraz z nią, generator kluczy aktywacyjnych. Jak to często bywa, generator zarażony. W tym wypadku był to Backdoor.Win32.Mokes.hvl, wykrywany przez oprogramowanie Kasperskiego przynajmniej od 2013 roku.

Przy włączonym antywirusie uzłośliwiony generator kluczy nie chciał się uruchomić, więc użytkownik wyłączył oprogramowanie Kasperskiego, otwierając drogę stronom trzecim do uruchomienia w jego systemie furtki i uzyskania zdalnego dostępu do jego maszyny.

Minął ponad miesiąc, zanim użytkownik reaktywował antywirusa na swojej maszynie – który rozpoznał szybko infekcję wspomnianym backdoorem i go zneutralizował. Następnie użytkownik ten kilkukrotnie przeskanował zawartość swojego dysku. Wtedy właśnie antywirus wychwycił nowe warianty szkodnika The Equation Group, wśród nich archiwum w formacie .7z. Pliki zostały automatycznie przesłane do analizy, która ujawniła, że we wspomnianym archiwum znalazły się liczne próbki malware, wraz z jego kodem źródłowym.

Wtedy właśnie, decyzją szefa firmy, przejęte archiwum zostało usunięte z systemów Kasperskiego. Od tamtego czasu maszyna wspomnianego użytkownika nie zgłosiła już żadnych infekcji. Jednak po ujawnieniu informacji o zagrożeniu malware stworzonym przez The Equation Group, inne podłączone do KSN maszyny z tego samego zakresu adresów IP co ta pierwsza, zaczęło zgłaszać oznaki infekcji. Wyglądały one jednak na honeypoty („garnce miodu”), mające przyciągnąć wrogich hakerów. Nie znaleziono na nich niczego niezwykłego, po prostu zarażenia wieloma odmianami rządowego malware.

W kolejnych latach powiązanych z tą historią incydentów już nie odnotowano. Nie wykryto też śladów żadnej obcej ingerencji w sieci firmowe Kaspersky Lab, nie licząc ujawnionego w 2015 roku ataku Duqu 2.0.

To nie koniec śledztwa. Szczegółowe informacje mają zostać ujawnione we współpracy z zaufaną trzecią stroną, w ramach Global Transparency Initative.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.