My ich kodu źródłowego nie potrzebujemy – Kaspersky Lab o malware NSA

Zapowiedziane przez Jewgienija Kasperskiego śledztwo w sprawiedomniemanego wykorzystania przez rosyjski wywiad oprogramowaniaantywirusowego tej firmy do poszukiwania tajemnic USA, jak równieżdomniemanego włamania się przez izraelski wywiad na serweryKaspersky Lab, przyniosło pierwsze rezultaty. Oczywiście żadnychdowodów na prawdziwość oskarżeń amerykańskich mediów tam niema, jednak historia pewnego incydentu z 2014 roku może tylkowzbudzić nasz uśmiech, pokazując, jak kiepsko wyglądałobezpieczeństwo wewnętrzne amerykańskich agencji wywiadowczych jużnawet po aferze z Edwardem Snowdenem.

W skrócie mówiąc, Kaspersky Lab faktycznie przyznaje, żewszedł w posiadanie tajnych danych NSA, ale nie było to zamierzone.Chodzi konkretnie o przechwycenie w 2014 roku kodu źródłowegonarzędzia stworzonego przez The Equation Group, elitarną grupęhakerów NSA. Gdy o sprawie doniesiono Jewgienijowi Kasperskiemu,nakazać on miał zniszczenie próbki,

Jak wyjaśnia rzeczniczka firmy, Sarah Kitsos, przejęte archiwumzostało skasowane, ponieważ Kaspersky Lab nie potrzebuje koduźródłowego do ulepszenia technologii zabezpieczających, oraz zewzględu na ogólne problemy z przetwarzaniem tajnych materiałów.Zapewnia zarazem, że żadne strony trzecie nie uzyskały dostępu doskasowanego kodu, w szczególności nie został on udostępnionywładzom Federacji Rosyjskiej.

Na ile wiarygodnie brzmią te deklaracje i na ile sensowna jestzadeklarowana w nich polityka – nie nam oceniać. Może nawetwolelibyśmy, by exploity NSA były wgrywane anonimowo na GitHuba,pozwalając niezależnym badaczom wzmacniać bezpieczeństwo systemówoperacyjnych. Całkiem wiarygodnie za to jednak brzmi przedstawionaprzez Kaspersky Lab chronologia wydarzeń, które związane były ztym incydentem.

Podczas badania trwałych zagrożeń (APT) stworzonych przez TheEquation Group, Kaspersky Lab zauważyć miało ich pojawienie sięna całym świecie, w ponad 40 krajach. Niektóre z nichzaobserwowano też w USA – tak jakby NSA prowadziło operacje nawłasnej ziemi. Zgodnie z rutynowymi procedurami, Kaspersky Labprzekazał informacje o tych infekcjach odpowiednim instytucjomamerykańskiej administracji federalnej.

Jedno z wykrytych w USA zagrożeń było wcześniej nieznane inieodnotowane. 11 sierpnia 2014 roku pewien komputer z przeznaczonymdla użytkowników domowych antywirusem Kasperskiego, włączonym dochmurowej usługi Kaspersky Security Network (KSN), wykrył plikmpdkg32.dll. Chmura Kasperskiego uznała, że jest to szkodnikTrojan.Win32.GrayFish.gen.

W październiku 2014 roku użytkownik komputera, na którymwykryto tego szkodnika, pobrał sobie piracką kopię MicrosoftOffice, a wraz z nią, generator kluczy aktywacyjnych. Jak to częstobywa, generator zarażony. W tym wypadku był toBackdoor.Win32.Mokes.hvl, wykrywany przez oprogramowanie Kasperskiegoprzynajmniej od 2013 roku.

Przy włączonym antywirusie uzłośliwiony generator kluczy niechciał się uruchomić, więc użytkownik wyłączył oprogramowanieKasperskiego, otwierając drogę stronom trzecim do uruchomienia wjego systemie furtki i uzyskania zdalnego dostępu do jego maszyny.

Minął ponad miesiąc, zanim użytkownik reaktywował antywirusana swojej maszynie – który rozpoznał szybko infekcję wspomnianymbackdoorem i go zneutralizował. Następnie użytkownik tenkilkukrotnie przeskanował zawartość swojego dysku. Wtedy właśnieantywirus wychwycił nowe warianty szkodnika The Equation Group,wśród nich archiwum w formacie .7z. Pliki zostały automatycznieprzesłane do analizy, która ujawniła, że we wspomnianym archiwumznalazły się liczne próbki malware, wraz z jego kodem źródłowym.

Wtedy właśnie, decyzją szefa firmy, przejęte archiwum zostałousunięte z systemów Kasperskiego. Od tamtego czasu maszynawspomnianego użytkownika nie zgłosiła już żadnych infekcji.Jednak po ujawnieniuinformacji o zagrożeniu malware stworzonym przez The EquationGroup, inne podłączone do KSN maszyny z tego samego zakresu adresówIP co ta pierwsza, zaczęło zgłaszać oznaki infekcji. Wyglądałyone jednak na honeypoty („garnce miodu”), mające przyciągnąćwrogich hakerów. Nie znaleziono na nich niczego niezwykłego, poprostu zarażenia wieloma odmianami rządowego malware.

W kolejnych latach powiązanych z tą historią incydentów jużnie odnotowano. Nie wykryto też śladów żadnej obcej ingerencji wsieci firmowe Kaspersky Lab, nie licząc ujawnionego w 2015 rokuatakuDuqu 2.0.

To nie koniec śledztwa. Szczegółowe informacje mają zostaćujawnione we współpracy z zaufaną trzecią stroną, w ramachGlobalTransparency Initative.