Výsledky interního šetření Kaspersky Lab vztahující se k medializovanému incidentu se zdrojovým kódem Equation APT

Na začátku října zveřejnil Wall Street Journal článek o tom, že byl software společnosti Kaspersky Lab použitý pro stažení utajovaných dokumentů z osobního počítače pracovníka americké NSA. Společnost Kaspersky Lab stojí již 20 let v čele boje proti kybernetické kriminalitě, a bere proto tato obvinění velmi vážně.  Společnost provedla interní vyšetřování, aby shromáždila potřebná data a vyvrátila tak jakékoliv obavy.

Předběžné výsledky tohoto šetření byly publikovány 25. října. Týkaly se především obecných zjištění aktivit společnosti pro nalezení důkazů o údajném použití jejího softwaru, jak o tom informovala média. Zpráva uveřejněná ve čtvrtek potvrzuje už první zjištění a poskytuje detailnější informace o analýze, která se věnovala telemetrii produktů Kaspersky Lab. Tato telemetrie popisuje podezřelou aktivitu zaznamenanou v daném počítači v časovém rámci incidentu, který se odehrál v roce 2014.

  • Produkty Kaspersky Lab, nainstalované na počítači uživatele z USA, reportovaly 11. září 2014 infekci podobnou malwaru, který používala skupina Equation APT, sofistikovaný hráč na poli kybernetických hrozeb. Její aktivity jsou od roku 2014 předmětem aktivního vyšetřování.
  • Zdá se, že krátce po tomto incidentu si uživatel do svého zařízení pravděpodobně stáhl a nainstaloval pirátský software. Byl to soubor Microsoft Office ISO a ilegální aktivační nástroje Microsoft Office 2013 (tzv. „keygen“).
  • Aby si uživatel mohl aktivovat tuto pirátskou kopii Officu 2013, musel deaktivovat produkt Kaspersky Lab. Pokud by totiž antivirus zůstal aktivní, nedošlo by ke spuštění tohoto ilegálního aktivačního nástroje.
  • Ilegální aktivační nástroj v rámci Office ISO byl infikovaný malwarem. Tento malware infikoval počítač uživatele po blíže neurčitou dobu, po kterou byl produkt Kaspersky Lab neaktivní. Malware obsahoval plnohodnotný backdoor, který umožnil třetí straně přístup do uživatelova zařízení.
  • Po svém opětovném uvedení do provozu detekoval produkt Kaspersky Lab tento malware jako Backdoor.Win32.Mokes.hvl a zablokoval jeho kontakt se známým centrálním uzlem (C&C serverem). K první detekci zákeřného instalačního programu došlo 4. října 2014.
  • Antivirus navíc detekoval nové i dříve známé varianty malwaru skupiny Equation APT.
  • Jedním ze souborů detekovaných antivirem byla nová varianta zazipovaného (7zip) malwaru skupiny Equation APT. Ta byla v souladu s uživatelskými a KSN licenčními podmínkami poslána do virusové laboratoře Kaspersky Lab, kde byla podrobena detailnější analýze.
  • Při analýze bylo zjištěno, že archiv obsahuje velké množství souborů, včetně známých a neznámých nástrojů skupiny Equation, zdrojový kód i tajné dokumenty. Analytici reportovali tento incident výkonnému řediteli. Na základě jeho příkazu byly tyto archivy, zdrojový kód a všechny tajné dokumenty během několika dní vymazány ze systémů společnosti. Nicméně soubory, které jsou jednoznačně binárním malwarem, zůstávají v současné době v úložišti společnosti Kaspersky Lab. Společnost nesdílela archiv s žádnou třetí stranou.
  • Existují dva důvody, proč Kaspersky Lab odstraňuje podobné složky: zaprvé jsou pro vylepšení kybernetické ochrany zapotřebí pouze binární malwary, a zadruhé má obavy ze zacházení s potencionálně tajnými materiály.  
  • V důsledku tohoto incidentu byly vytvořeny pro všechny malwarové analytiky nové postupy – nyní jsou povinni odstranit jakékoliv potencionálně tajné materiály, které byly náhodně objeveny během antimalwarové analýzy.
  • Vyšetřování neodhalilo žádné podobné incidenty v letech 2015, 2016 ani 2017.
  • Doposud nebylo, s výjimkou Duqu 2.0, zaznamenáno žádné jiné narušení sítí Kaspersky Lab třetí stranou.

Aby Kaspersky Lab dále podpořila objektivitu interního šetření, zapojila do něj i analytiky, kteří nepocházejí z Ruska. Věří, že tak předejde možným obviněním z ovlivňování jeho výsledků.

Další nálezy

Jedním z hlavních počátečních objevů vyšetřování bylo to, že dotyčný počítač byl napaden malwarem Mokes backdoor, který umožňuje zločincům vzdálený přístup k počítači. V rámci vyšetřování se bezpečnostní odborníci z Kaspersky Lab detailněji zaměřili na tento backdoor
a další telemetrické hrozby odeslané z počítače, které nesouvisely se skupinou Equation.

 

  • Podivné pozadí Mokes backdoor

 

Je veřejně známo, že malware Mokes backdoor (znám také jako “Smoke Bot” nebo “Smoke Loader”) se objevil na fórech ruského podsvětí a byl dostupný ke koupi již v roce 2011. Výzkum Kaspersky Lab ukazuje, že během období mezi zářím a listopadem 2014 byly centrální uzly tohoto malwaru registrovány pravděpodobně čínským subjektem skrývajícím se pod jménem “Zhou Lou”. Podrobnější analýza telemetrie navíc ukázala, že Mokes backdoor není jediným malwarem, který napadl dotyčný počítač v době incidentu. Na tomtéž zařízení byly současně zaznamenány další ilegální aktivační nástroje a keygeny.

 

  • Další malwary nesouvisející se skupinou Equation

 

Za dobu dvou měsíců reportoval produkt výstrahy týkající se 121 malwarových položek, nesouvisejících se skupinou Equation: backdoory, exploity, trojany a Adware. Všechny tyto výstrahy, v kombinaci s omezeným množstvím dostupné telemetrie, způsobují to, že společnost Kaspersky Lab může potvrdit pouze fakt, že její produkt dané hrozby detekoval. Není však možné určit, zda probíhaly v době, kdy byl produkt neaktivní.

Kaspersky Lab pokračuje v pátrání po dalších škodlivých vzorcích a dodatečné výsledky zveřejní hned, jakmile bude analýza dokončena.

Závěrečná shrnutí:

Celkové závěry šetření jsou následující:

 

  • Software Kaspersky Lab fungoval dle očekávání. Informoval analytiky společnosti
    o výstrahách na charakteristické rysy malwaru, které slouží k detekci skupiny Equation APT. Ta byla v té době známá již šest měsíců. K reportování docházelo v souladu s deklarovaným popisem funkčností produktu, scénářů a právních dokumentů, se kterými uživatel souhlasil před instalací softwaru.
  • Od předpokladu, že se jedná o potenciálně utajovanou informaci, bylo upuštěno, jelikož byla součástí archivu, který odkazoval na malwarový podpis, který vykazoval znaky skupiny Equation APT.
  • Kromě samotného malwaru obsahoval archiv známky zdrojového kódu malwaru Equation APT a čtyři dokumenty MS Word označené jako tajné. Kaspersky Lab nemá informace o obsahu těchto dokumentů, protože byly během několika dní vymazány.

 

  • Kaspersky Lab nemůže posoudit, zda bylo s daty zacházeno „odpovídajícím způsobem“ (podle norem vlády Spojených států). Analytici Kaspersky Lab totiž nebyli školeni na manipulaci s tajnými informacemi Spojených států a také nemají žádnou právní povinnost tak činit. Nedošlo však ke sdílení informací s žádnou třetí stranou.

 

  • V rozporu s několika zprávami v médiích nebyl nalezen žádný důkaz o tom, že by se bezpečnostní odborníci z Kaspersky Lab někdy snažili vydat “tichá” nařízení, umožňující cílené vyhledávání dokumentů se slovy jako jsou “přísně tajné”, “tajné” a další podobná slova.

 

  • Mokes backdoor a případné infekce dalších malwarů nesouvisející se skupinou Equation poukazují na možnost, že uživatelská data kvůli vzdálenému přístupu k počítači mohla uniknout k neznámému počtu třetích stran.

Kaspersky Lab, jakožto zcela transparentní společnost, je připravena poskytnout podrobnější informace o šetření relevantním skupinám z vládních institucí a klientům, kteří jsou znepokojeni nedávnými zprávami v médiích.

Celou zprávu si můžete přečíst zde. Technická analýza Mokes backdoor je dostupná na tomto odkazu.

O společnosti Kaspersky Lab

Kaspersky Lab je mezinárodní společností, která se zabývá kybernetickou bezpečností a v roce 2017 slaví 20 let od svého založení. Své rozsáhlé odborné znalosti kybernetických hrozeb využívá Kaspersky Lab při vytváření bezpečnostních řešení a služeb nové generace zaměřených na ochranu podniků, kritické infrastruktury, vládních organizací a uživatelů po celém světě. Portfolio společnosti zahrnuje špičkové zabezpečení koncových bodů a specializovaná bezpečnostní řešení a služby sloužící k ochraně proti sofistikovaným a neustále se vyvíjejícím digitálním hrozbám. Technologie Kaspersky Lab chrání celosvětově více než 400 milionů uživatelů a 270 tisíc korporátních klientů. Více se dozvíte na www.kaspersky.cz.