Kaspersky Lab se snaží vyvrátit podezření z neoprávněného přístupu k tajným materiálům NSA



Na začátku října zveřejnil Wall Street Journal článek o tom, že byl software společnosti Kaspersky Lab použit pro identifikaci a stažení utajovaných dokumentů z osobního počítače pracovníka americké NSA. To samozřejmě vzbudilo nemalou pozornost a vyvolalo obavy uživatelů antimalware této společnosti. Společnost Kaspersky Lab zahájila vyšetřování a nyní zveřejnila jeho podrobné výsledky.

Produkty Kaspersky Lab, nainstalované na počítači uživatele z USA, reportovaly podle výrobce 11. září 2014 infekci podobnou malwaru, který používala skupina Equation APT, sofistikovaný hráč na poli kybernetických hrozeb. Její aktivity jsou od roku 2014 předmětem aktivního vyšetřování.

Krátce po tomto incidentu si uživatel do svého zařízení pravděpodobně stáhl a nainstaloval pirátský software, a to soubor Microsoft Office ISO a ilegální aktivační nástroje Microsoft Office 2013 (tzv. keygen pro MS Office). Aby si uživatel mohl aktivovat tuto pirátskou kopii Officu 2013, musel deaktivovat produkt Kaspersky Lab. Pokud by totiž antivirus zůstal aktivní, nedošlo by ke spuštění keygenu.

Ilegální aktivační nástroj v rámci Office ISO byl podle zástupců společnosti Kaspersky infikovaný malwarem. Tento malware infikoval počítač uživatele po blíže neurčitou dobu, po kterou byl produkt Kaspersky Lab neaktivní. Malware obsahoval plnohodnotný backdoor, který umožnil třetí straně přístup do uživatelova zařízení.

Po svém opětovném uvedení do provozu detekoval produkt Kaspersky Lab tento malware jako Backdoor.Win32.Mokes.hvl a zablokoval jeho kontakt se známým centrálním uzlem (C&C serverem). K první detekci zákeřného instalačního programu došlo 4. října 2014. Antivirus navíc detekoval nové i dříve známé varianty malwaru skupiny Equation APT.

Analýza viru

Jedním ze souborů detekovaných antivirem byla nová varianta zazipovaného (7zip) malwaru skupiny Equation APT. Ta byla podle zástupců firmy Kaspersky v souladu s uživatelskými a KSN licenčními podmínkami poslána do virusové laboratoře Kaspersky Lab, kde byla podrobena detailnější analýze.

Při analýze bylo zjištěno, že archiv obsahuje velké množství souborů, včetně známých a neznámých nástrojů skupiny Equation, zdrojový kód i tajné dokumenty. Analytici reportovali tento incident výkonnému řediteli. Na základě jeho příkazu byly tyto archivy, zdrojový kód a všechny tajné dokumenty během několika dní vymazány ze systémů společnosti. Nicméně soubory, které jsou binárním malwarem, zůstávají v současné době v úložišti společnosti Kaspersky Lab. Společnost podle svých zástupců nesdílela archiv s žádnou třetí stranou.

V důsledku tohoto incidentu byly vytvořeny pro všechny malwarové analytiky nové postupy – nyní jsou povinni odstranit jakékoliv potencionálně tajné materiály, které byly náhodně objeveny během antimalwarové analýzy. Vyšetřování Kaspersky Lab neodhalilo žádné podobné incidenty v letech 2015, 2016 ani 2017. Doposud prý nebylo, s výjimkou Duqu 2.0, zaznamenáno žádné jiné narušení sítí Kaspersky Lab třetí stranou.

Aby Kaspersky Lab dále podpořila objektivitu interního šetření, zapojila do něj i analytiky, kteří nepocházejí z Ruska. Věří, že tak předejde možným obviněním z ovlivňování jeho výsledků.

Další zjištění vyšetřování

Jedním z hlavních počátečních objevů vyšetřování bylo to, že dotyčný počítač byl napaden malwarem Mokes backdoor, který umožňuje zločincům vzdálený přístup k počítači. V rámci vyšetřování se bezpečnostní odborníci z Kaspersky Lab detailněji zaměřili na tento backdoor a další telemetrické hrozby odeslané z počítače, které nesouvisely se skupinou Equation.

Podle zprávy Kaspersky Lab je veřejně známo, že malware Mokes backdoor (znám také jako “Smoke Bot” nebo “Smoke Loader”) se objevil na fórech ruského podsvětí a byl dostupný ke koupi již v roce 2011. Výzkum Kaspersky Lab ukazuje, že během období mezi zářím a listopadem 2014 byly centrální uzly tohoto malwaru registrovány pravděpodobně čínským subjektem skrývajícím se pod jménem “Zhou Lou”. Podrobnější analýza telemetrie navíc ukázala, že Mokes backdoor není jediným malwarem, který napadl dotyčný počítač v době incidentu. Na tomtéž zařízení byly současně zaznamenány další ilegální aktivační nástroje a keygeny.

Za dobu dvou měsíců reportoval produkt výstrahy týkající se 121 malwarových položek, nesouvisejících se skupinou Equation: backdoory, exploity, trojany a Adware. Všechny tyto výstrahy, v kombinaci s omezeným množstvím dostupné telemetrie, způsobují to, že společnost Kaspersky Lab může potvrdit pouze fakt, že její produkt dané hrozby detekoval. Není však možné určit, zda probíhaly v době, kdy byl produkt neaktivní.

Kaspersky Lab podle svých zástupců pokračuje v pátrání po dalších škodlivých vzorcích a dodatečné výsledky zveřejní hned, jakmile bude analýza dokončena.

Dodejme, že výše uvedené poznatky vycházejí přímo z aktuální zprávy Kaspersky Lab.


(22. 11. 2017 | redakce2)

Facebook Twitter
Komentáře, názory a rady

Zatím sem nikdo nevložil žádný komentář. Buďte první...

>>> Číst a vkládat komentáře <<<

NOVINKA: Pozoruhodné IT produkty 2019 podruhé
Ani tentokrát si nenechte ujít produkty, které vám mohou pomoci ve vaší práci v IT.

Pozoruhodné IT produkty pro rok 2019
Náš první letošní seznam zajímavých produktů, které byste určitě neměli minout






Články čtenářů

Pomalý notebook HP s Windows 10 - a ...


Jestli máte trable s pomalým počítačem od HP (nebo i od jiné velké značky), tak jste na tom stejně, jako jsem ještě před pár hodinami byl já. Zkoušel jsem řadu osvěd...

Slow HP Windows 10 notebook - and wh...


If you have trouble with a slow computer from HP (or even another big brand), you've the same problem I had a few hours ago. I tried a number of proven recipes, but ...

Komentáře čtenářů

TBW
Dobrý den. Koukám že váš článek je z roku 2016. Dnes je rok 2019 a situace může být odlišná. Můj dotaz z...>>
Podnikání na youtube
Zdravím, měl bych pár dotazů týkajících se podnikání na youtube. Četl jsem na http://techhity.cz/media/j...>>
Zdá se mi to nebezpečné
Přijde mi to už docela nebezpečné, že půjde platit i prostřednictvím televize. Ale pokrok nezastavíme. C...>>


©2011-2019 BusinessIT.cz, ISSN 1805-0522 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
Používáme účetní program Money S3
O vydavateli | Pravidla webu BusinessIT.cz a ochrana soukromí | pg(5490)