ΑρχικήinetKaspersky Lab Equation: αποτελέσματα εσωτερικής έρευνας

Kaspersky Lab Equation: αποτελέσματα εσωτερικής έρευνας

Στις αρχές Οκτωβρίου κυκλοφόρησε μια ιστορία στο The Wall Street Journal όπου αναφερόταν ότι το λογισμικό της Kaspersky Lab χρησιμοποιήθηκε για να «κατεβάσει» διαβαθμισμένα δεδομένα από τον οικιακό υπολογιστή υπάλληλου της NSA. Δεδομένου ότι η Kaspersky Lab βρίσκεται στην πρώτη γραμμή της καταπολέμησης της ψηφιακής κατασκοπίας και του ψηφιακού εγκλήματος για πάνω από 20 χρόνια, οι ισχυρισμοί αυτοί αντιμετωπίστηκαν πολύ σοβαρά από την εταιρεία. Για να συγκεντρώσει τα γεγονότα και να αντιμετωπίσει τυχόν ανησυχίες, η Kaspersky Lab διεξήγαγε εσωτερική έρευνα. Kaspersky Lab

Τα προκαταρκτικά αποτελέσματα της έρευνας δημοσιεύτηκαν στις 25 Οκτωβρίου. Αυτά υπογράμμισαν τα γενικά συμπεράσματα της έρευνας της εταιρείας για την απόδειξη του φερόμενου γεγονότος που αναφέρθηκε από τα μέσα μαζικής ενημέρωσης. Η νέα έκθεση που δημοσιεύτηκε σήμερα επιβεβαιώνει τα αρχικά ευρήματα και παρέχει επιπλέον στοιχεία για την ανάλυση της τηλεμετρίας των προϊόντων της Kaspersky Lab που σχετίζονται με το περιστατικό. Αυτή η τηλεμετρία περιγράφει την ύποπτη δραστηριότητα που σημειώθηκε στον εν λόγω υπολογιστή κατά τη διάρκεια του περιστατικού, το οποίο έλαβε χώρα το 2014.

INTERPOL και Κaspersky Lab ενισχύουν τη συνεργασία τους

Περίληψη ιστορικού:

  • Στις 11 Σεπτεμβρίου του 2014, ένα προϊόν της Kaspersky Lab που εγκαταστάθηκε στον υπολογιστή ενός χρήστη με έδρα τις Η.Π.Α. ανέφερε μια «μόλυνση», η οποία φαινόταν να προέρχεται από παραλλαγές κακόβουλου λογισμικού που χρησιμοποιήθηκε από την ομάδα Equation ΑΡΤ – έναν εξελιγμένο φορέα ψηφιακής απειλής, για τη δραστηριότητα του οποίου πραγματοποιούνταν ήδη ενεργή έρευνα από τον Μάρτιο του 2014.
  • Λίγο αργότερα, ο χρήστης φαινόταν να έχει «κατεβάσει» και να έχει εγκαταστήσει πειρατικό λογισμικό στον υπολογιστή του, συγκεκριμένα ένα αρχείο ISO του Microsoft Office και ένα παράνομο εργαλείο ενεργοποίησης του Microsoft Office 2013 (γνωστό και ως «keygen»).
  • Για να εγκαταστήσει το πειρατικό αντίγραφο του Office 2013, ο χρήστης φαίνεται να έχει απενεργοποιήσει το προϊόν της Kaspersky Lab στον υπολογιστή του, επειδή η εκτέλεση του παράνομου εργαλείου ενεργοποίησης δεν θα ήταν δυνατή στην περίπτωση που το antivirus ήταν ενεργοποιημένο.
  • Το παράνομο εργαλείο ενεργοποίησης που περιέχεται στο Office ISO είχε «μολυνθεί» με κακόβουλο λογισμικό. Ο χρήστης «μολύνθηκε» με αυτό το κακόβουλο λογισμικό για μια απροσδιόριστη περίοδο ενώ το προϊόν της Kaspersky Lab ήταν ανενεργό. Το κακόβουλο λογισμικό αποτελούνταν από ένα πλήρως ενεργοποιημένο backdoor, το οποίο θα μπορούσε να επιτρέψει σε τρίτους να έχουν πρόσβαση στον υπολογιστή του χρήστη.
  • Όταν ενεργοποιήθηκε ξανά το προϊόν της Kaspersky Lab, ανίχνευσε το κακόβουλο λογισμικό με την ετυμηγορία Backdoor.Win32.Mokes.hvl και απέτρεψε αυτό το κακόβουλο λογισμικό από το να συνδεθεί με έναν γνωστό command and control server. Η πρώτη ανίχνευση του κακόβουλου προγράμματος εγκατάστασης έγινε στις 4 Οκτωβρίου 2014.
  • Επιπλέον, το antivirus προϊόν ανίχνευσε επίσης άγνωστες αλλά και ήδη γνωστές παραλλαγές του κακόβουλου λογισμικού της Equation APT.
  • Ένα από τα αρχεία που εντοπίστηκαν από το προϊόν ως νέες παραλλαγές του κακόβουλου λογισμικού της Equation APT ήταν ένα αρχείο 7zip που στάλθηκε πίσω στο εργαστήριο Kaspersky Virus Lab για περαιτέρω ανάλυση, σύμφωνα με τις συμφωνίες παραχώρησης άδειας χρήσης τελικού χρήστη και KSN.
  • Μετά την ανάλυση, ανακαλύφθηκε ότι το αρχείο περιείχε ένα πλήθος φακέλων, συμπεριλαμβανομένων γνωστών και άγνωστων εργαλείων της ομάδας Equation group, πηγαίου κώδικα, καθώς και διαβαθμισμένων εγγράφων. Ο αναλυτής ανέφερε το περιστατικό στον Διευθύνοντα Σύμβουλο. Μετά από αίτημα του Διευθύνοντος Συμβούλου, το ίδιο το αρχείο, ο πηγαίος κώδικας και όλα τα προφανώς διαβαθμισμένα δεδομένα διαγράφηκαν μέσα σε λίγες ημέρες από τα συστήματα της εταιρείας. Ωστόσο, αρχεία που είναι νόμιμα malware binaries παραμένουν επί του παρόντος στον αποθηκευτικό χώρο της Kaspersky Lab. Το αρχείο δεν κοινοποιήθηκε σε τρίτους.
  • Ο λόγος για τον οποίο η Kaspersky Lab διέγραψε τα αρχεία αυτά και θα διαγράψει παρόμοια στο μέλλον είναι διττός: πρώτον, χρειάζεται μόνο malware binaries για τη βελτίωση της προστασίας και, δεύτερον, έχει ανησυχίες σχετικά με τον χειρισμό δυνητικά διαβαθμισμένου υλικού.
  • Λόγω αυτού του συμβάντος, δημιουργήθηκε μια νέα πολιτική για όλους τους αναλυτές κακόβουλου λογισμικού: απαιτείται πλέον να διαγράφουν τυχόν δυνητικά διαβαθμισμένα υλικά που έχουν συλλεχθεί κατά λάθος κατά τη διάρκεια ερευνών για κακόβουλου λογισμικό.
  • Η έρευνα δεν αποκάλυψε άλλα παρόμοια περιστατικά το 2015, το 2016 ή το 2017.
  • Μέχρι στιγμής, δεν εντοπίστηκε καμία παρεμβολή τρίτου μέρους εκτός από το Duqu 2.0 στα δίκτυα της Kaspersky Lab.

Για να υποστηρίξουμε περαιτέρω την αντικειμενικότητα της εσωτερικής έρευνας, την εφαρμόσαμε χρησιμοποιώντας πολλαπλούς αναλυτές, συμπεριλαμβανομένων εκείνων που δεν προέρχονται από τη Ρωσία, και εργάζονται εκτός Ρωσίας για να αποφύγουμε ακόμη και πιθανές κατηγορίες επιρροής.

Συμπληρωματικά ευρήματα

Μία από τις τελευταίες σημαντικές ανακαλύψεις της έρευνας ήταν ότι ο εν λόγω υπολογιστής «μολύνθηκε» με το Mokes backdoor, ένα κακόβουλο λογισμικό το οποίο επιτρέπει στους επικίνδυνους χρήστες να έχουν απομακρυσμένη πρόσβαση σε υπολογιστές. Ως μέρος των ερευνών, οι ερευνητές της Kaspersky Lab ανέλυσαν εις βάθος αυτό το backdoor και άλλη τηλεμετρία που δε σχετίζεται με την απειλή Equation που είχε αποσταλεί από τον υπολογιστή.

  • Περίεργο υπόβαθρο του Mokes backdoor

Είναι κοινώς γνωστό ότι το Mokes backdoor (επίσης γνωστό ως “Smoke Bot” ή “Smoke Loader”) εμφανίστηκε στα ρωσικά underground φόρουμ, όπου και διατίθεται για αγορά από το 2011. Η έρευνα της Kaspersky Lab φανέρωσε ότι στο διάστημα από τον Σεπτέμβριο μέχρι και τον Νοέμβριο του 2014 οι command and control servers αυτού του κακόβουλου λογισμικού καταγράφηκαν πιθανώς σε κινεζική οντότητα με την επωνυμία “Zhou Lou”. Επιπλέον, η βαθύτερη ανάλυση της τηλεμετρίας της Kaspersky Lab έδειξε ότι το backdoor Mokes μπορεί να μην ήταν το μόνο κακόβουλο λογισμικό που «μόλυνε» τον εν λόγω υπολογιστή κατά τη στιγμή του συμβάντος, καθώς εντοπίστηκαν άλλα παράνομα εργαλεία ενεργοποίησης και keygens στο ίδιο μηχάνημα.

  • Περισσότερα κακόβουλα λογισμικά που δεν σχετίζονται με την Ομάδα Equation 

Σε μία περίοδο δύο μηνών, το προϊόν ανέφερε ειδοποιήσεις για 121 αντικείμενα που δεν σχετίζονται με malware της Equation: backdoors, exploits, Trojans και AdWare. Όλες αυτές οι ειδοποιήσεις, σε συνδυασμό με την περιορισμένη ποσότητα διαθέσιμης τηλεμετρίας, σημαίνει ότι ενώ μπορούμε να επιβεβαιώσουμε ότι το προϊόν μας έχει εντοπίσει τις απειλές, είναι απίθανο να διαπιστωθεί εάν εκτελέστηκαν κατά τη διάρκεια της περιόδου που το προϊόν είχε απενεργοποιηθεί.

Η Kaspersky Lab συνεχίζει να διερευνά τα άλλα κακόβουλα δείγματα και τα περαιτέρω αποτελέσματα θα δημοσιευτούν μόλις ολοκληρωθεί η ανάλυση.

Συμπεράσματα:

Τα γενικά συμπεράσματα της έρευνας είναι τα ακόλουθα:

  • Το λογισμικό της Kaspersky Lab εκτελέστηκε όπως αναμενόταν και ενημέρωσε τους αναλυτές μας για ειδοποιήσεις σχετικά με τις υπογραφές που έχουν σχεδιαστεί για την ανίχνευση κακόβουλου λογισμικού της ομάδας Equation APT που ήταν ήδη υπό έρευνα για έξι μήνες. Όλα αυτά σύμφωνα με την περιγραφή της δηλωμένης λειτουργικότητας του προϊόντος, των σεναρίων και των νομικών εγγράφων με τα οποία ο χρήστης έχει συμφωνήσει πριν από την εγκατάσταση του λογισμικού.
  • Αυτές που θεωρήθηκαν δυνητικά απόρρητες πληροφορίες αποσύρθηκαν επειδή περιέχονταν σε ένα αρχείο που «χτύπησε» σε μια κακόβουλη υπογραφή της ομάδας Equation APT.
  • Εκτός από το κακόβουλο λογισμικό, το αρχείο περιείχε επίσης αυτό που φαίνεται να ήταν πηγαίος κώδικας για κακόβουλο λογισμικό των APT επιθέσεων της Ομάδας Equation και τέσσερα έγγραφα Word που έφεραν σήματα ταξινόμησης. Η Kaspersky Lab δεν διαθέτει πληροφορίες σχετικά με το περιεχόμενο των εγγράφων καθώς διαγράφηκαν μέσα σε λίγες ημέρες.
  • Η Kaspersky Lab δεν μπορεί να αξιολογήσει αν τα δεδομένα “χειρίστηκαν κατάλληλα” (σύμφωνα με τους κανόνες της κυβέρνησης των Η.Π.Α.), αφού οι αναλυτές μας δεν έχουν εκπαιδευτεί στο χειρισμό απόρρητων πληροφοριών των Η.Π.Α., ούτε έχουν νομική υποχρέωση να το κάνουν. Οι πληροφορίες δεν μοιράστηκαν με κανέναν τρίτο.
  • Σε αντίθεση με τις πολυάριθμες δημοσιεύσεις των μέσων μαζικής ενημέρωσης, δεν έχει βρεθεί καμία απόδειξη ότι οι ερευνητές της Kaspersky Lab έχουν ποτέ προσπαθήσει να εκδώσουν «σιωπηλές» υπογραφές που αποσκοπούν στην αναζήτηση εγγράφων με λέξεις όπως «απόρρητο» και «διαβαθμισμένο» και άλλες παρόμοιες λέξεις.
  • Η «μόλυνση» του Mokes backdoor και οι πιθανές «μολύνσεις» άλλων κακόβουλων προγραμμάτων που δεν σχετίζονται με την Equation δείχνουν ότι τα δεδομένα των χρηστών θα μπορούσαν να διαρρεύσουν σε άγνωστο αριθμό τρίτων ως αποτέλεσμα της απομακρυσμένης πρόσβασης στον υπολογιστή.

Ως μια απολύτως διαφανής εταιρεία, η Kaspersky Lab είναι έτοιμη να παράσχει επιπλέον στοιχεία της έρευνας με υπεύθυνο τρόπο σε συναφή μέρη κυβερνητικών οργανισμών και πλατών που ενδιαφέρονται για τις πρόσφατες εκθέσεις των ΜΜΕ.

Εδώ μπορείτε να διαβάσετε την πλήρη έκθεση, καθώς και μια τεχνική ανάλυση του backdoor Mokes εδώ.

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS