Kaspersky Lab publikuje raport ze śledztwa w sprawie dokumentów NSA
Ponad miesiąc po artykule The Wall Street Journal, w którym Kaspersky Lab został oskarżone o szpiegostwo na rzecz Federacji Rosyjskiej, producent oprogramowania antywirusowego opublikował wyniki wewnętrznego śledztwa, potwierdzając, że uzyskał dostęp do plików przechowywanych na komputerze najpewniej funkcjonariusza NSA. Nie miało to być jednak świadomym działaniem, a konsekwencją wykorzystania pirackiej wersji pakietu Office.
Winne piractwo?
Co ciekawe, Kaspersky Lab twierdzi, że w posiadanie dokumentów, które należeć mogły do NSA, wszedł nie w 2015 roku, jak twierdziło WSJ, lecz pomiędzy wrześniem a listopadem 2014 roku. 11 września 2014 roku program antywirusowy Kaspersky'ego miał wykryć na pewnym komputerze malware należące do elitarnej The Equation Group. Edward Snowden wskazywał w zeszłym roku na powiązanie The Equation Group i NSA.
Później na tym samym komputerze oprogramowanie Kaspersky'ego wykryło kolejne malware. Próbowano na nim zainstalować pakiet Office, użytkownik nie posiadał jednak klucza – próbował go zdobyć z wykorzystaniem pirackiego generatora. Program antywirusowy najpewniej zablokował wykonanie keygena, lecz wówczas użytkownik wyłączył ochronę. W ten sposób doszło do infekcji malware Backdoor.Win32.Mokes.hvl. Po jakimś czasie użytkownik znów włączył antywirus, ten wykrył zagrożenie i pobrał jego próbkę razem z wykrytym wcześniej malware Equation.
From Equation with Love
Jednym z pobranych na serwery Kasperky'ego plików było archiwum 7ZIP, które zawierało wiele plików, łącznie ze znanymi i nieznanymi narzędziami grupy Equation, kodami źródłowymi, jak i tajnymi dokumentami. O sprawie poinformowany został sam Jewgienij Kaspersky, który nakazał usunięcie archiwum z serwerów swojej firmy. Pozostawione zostały tylko próbki malware, które zainfekowały komputer z pirackim Officem.
Najważniejsze jednak, że Kaspersky nie znalazł dowodów, by którykolwiek z pracowników próbował śledzić sygnatury i identyfikować na tej podstawie dokumenty z klauzulą tajności, nie odnotowano także przypadków przeszukiwania baz pobranych próbek pod kątem tajnych dokumentów. Kaspersky udostępnia na swoich stronach bardziej szczegółowy raport.
Warto zaznaczyć, że według raportu Kaspersky Lab maszyna, z której pobrano próbki malware i nieszczęsne tajne dokumenty, stanowiła istne repozytorium szpiegującego oprogramowania i to bynajmniej nie przechowywanego w odizolowanych maszynach wirtualnych. Oprócz Backdoor.Win32.Mokes.hvl i malware Equation Group, badacze Kaspersky'ego odnaleźli tam jeszcze między innymi backdoor Mokes. Sam Jewgienij Kaspersky stwierdził na Twitterze na tej podstawie, że trop wiedzie także do Chin.
Czarownica musi płonąć
Artykuł Wall Street Journal wpisał się w trwającą od pierwszych sukcesów kampanii prezydenckiej Trumpa narrację w USA, która ostatni raz na taką skalę występowała chyba w czasach Nixona. Nadmuchiwana tygodniami kampania medialna sprawiła, że wyniki śledztwa wewnętrznego nie zostaną potraktowane poważnie, a za Oceanem nikt zapewne nie zwróci na nie uwagi.
Wyrok bez rozprawy zapadł już dawno, po wiedźmie wystygły popioły, kolejny wróg wspólnoty bohatersko zdemaskowany. Jest to zapewne jedna z ostatnich rzeczy, jakich może chcieć ktoś zainteresowany rozwojem techniki czy tylko oprogramowania – sytuacja wewnętrzna w USA zalewa jego przez lata upolitycznioną tylko na małą skalę domenę w sposób, który nawet nie sili się na pozory.