O nás     Inzerce     KontaktSpolehlivé informace o IT již od roku 2011
Hledat
Nepřehlédněte: Pozoruhodné IT produkty 2020
Správa dokumentů
Digitální transformace
Informační systémy
Hlavní rubriky: Informační systémy, Mobilní technologie, Datová centra, Sítě, IT bezpečnost, Software, Hardware, Zkušenosti a názory, Speciály

Pozoruhodné IT produkty 2020
E-knihy o IT zdarma
Odborné IT konference BusinessIT

Kaspersky Lab se snaží vyvrátit podezření z neoprávněného přístupu k tajným materiálům NSA

Na začátku října zveřejnil Wall Street Journal článek o tom, že byl software společnosti Kaspersky Lab použit pro identifikaci a stažení utajovaných dokumentů z osobního počítače pracovníka americké NSA. To samozřejmě vzbudilo nemalou pozornost a vyvolalo obavy uživatelů antimalware této společnosti. Společnost Kaspersky Lab zahájila vyšetřování a nyní zveřejnila jeho podrobné výsledky.

Produkty Kaspersky Lab, nainstalované na počítači uživatele z USA, reportovaly podle výrobce 11. září 2014 infekci podobnou malwaru, který používala skupina Equation APT, sofistikovaný hráč na poli kybernetických hrozeb. Její aktivity jsou od roku 2014 předmětem aktivního vyšetřování.

Krátce po tomto incidentu si uživatel do svého zařízení pravděpodobně stáhl a nainstaloval pirátský software, a to soubor Microsoft Office ISO a ilegální aktivační nástroje Microsoft Office 2013 (tzv. keygen pro MS Office). Aby si uživatel mohl aktivovat tuto pirátskou kopii Officu 2013, musel deaktivovat produkt Kaspersky Lab. Pokud by totiž antivirus zůstal aktivní, nedošlo by ke spuštění keygenu.

Ilegální aktivační nástroj v rámci Office ISO byl podle zástupců společnosti Kaspersky infikovaný malwarem. Tento malware infikoval počítač uživatele po blíže neurčitou dobu, po kterou byl produkt Kaspersky Lab neaktivní. Malware obsahoval plnohodnotný backdoor, který umožnil třetí straně přístup do uživatelova zařízení.

Po svém opětovném uvedení do provozu detekoval produkt Kaspersky Lab tento malware jako Backdoor.Win32.Mokes.hvl a zablokoval jeho kontakt se známým centrálním uzlem (C&C serverem). K první detekci zákeřného instalačního programu došlo 4. října 2014. Antivirus navíc detekoval nové i dříve známé varianty malwaru skupiny Equation APT.

Analýza viru

Jedním ze souborů detekovaných antivirem byla nová varianta zazipovaného (7zip) malwaru skupiny Equation APT. Ta byla podle zástupců firmy Kaspersky v souladu s uživatelskými a KSN licenčními podmínkami poslána do virusové laboratoře Kaspersky Lab, kde byla podrobena detailnější analýze.

Při analýze bylo zjištěno, že archiv obsahuje velké množství souborů, včetně známých a neznámých nástrojů skupiny Equation, zdrojový kód i tajné dokumenty. Analytici reportovali tento incident výkonnému řediteli. Na základě jeho příkazu byly tyto archivy, zdrojový kód a všechny tajné dokumenty během několika dní vymazány ze systémů společnosti. Nicméně soubory, které jsou binárním malwarem, zůstávají v současné době v úložišti společnosti Kaspersky Lab. Společnost podle svých zástupců nesdílela archiv s žádnou třetí stranou.

V důsledku tohoto incidentu byly vytvořeny pro všechny malwarové analytiky nové postupy – nyní jsou povinni odstranit jakékoliv potencionálně tajné materiály, které byly náhodně objeveny během antimalwarové analýzy. Vyšetřování Kaspersky Lab neodhalilo žádné podobné incidenty v letech 2015, 2016 ani 2017. Doposud prý nebylo, s výjimkou Duqu 2.0, zaznamenáno žádné jiné narušení sítí Kaspersky Lab třetí stranou.

Aby Kaspersky Lab dále podpořila objektivitu interního šetření, zapojila do něj i analytiky, kteří nepocházejí z Ruska. Věří, že tak předejde možným obviněním z ovlivňování jeho výsledků.

Další zjištění vyšetřování

Jedním z hlavních počátečních objevů vyšetřování bylo to, že dotyčný počítač byl napaden malwarem Mokes backdoor, který umožňuje zločincům vzdálený přístup k počítači. V rámci vyšetřování se bezpečnostní odborníci z Kaspersky Lab detailněji zaměřili na tento backdoor a další telemetrické hrozby odeslané z počítače, které nesouvisely se skupinou Equation.

Podle zprávy Kaspersky Lab je veřejně známo, že malware Mokes backdoor (znám také jako “Smoke Bot” nebo “Smoke Loader”) se objevil na fórech ruského podsvětí a byl dostupný ke koupi již v roce 2011. Výzkum Kaspersky Lab ukazuje, že během období mezi zářím a listopadem 2014 byly centrální uzly tohoto malwaru registrovány pravděpodobně čínským subjektem skrývajícím se pod jménem “Zhou Lou”. Podrobnější analýza telemetrie navíc ukázala, že Mokes backdoor není jediným malwarem, který napadl dotyčný počítač v době incidentu. Na tomtéž zařízení byly současně zaznamenány další ilegální aktivační nástroje a keygeny.

Za dobu dvou měsíců reportoval produkt výstrahy týkající se 121 malwarových položek, nesouvisejících se skupinou Equation: backdoory, exploity, trojany a Adware. Všechny tyto výstrahy, v kombinaci s omezeným množstvím dostupné telemetrie, způsobují to, že společnost Kaspersky Lab může potvrdit pouze fakt, že její produkt dané hrozby detekoval. Není však možné určit, zda probíhaly v době, kdy byl produkt neaktivní.

Kaspersky Lab podle svých zástupců pokračuje v pátrání po dalších škodlivých vzorcích a dodatečné výsledky zveřejní hned, jakmile bude analýza dokončena.

Dodejme, že výše uvedené poznatky vycházejí přímo z aktuální zprávy Kaspersky Lab.


(22. 11. 2017 | redakce2)

Facebook Twitter
Komentáře, názory a rady

Zatím sem nikdo nevložil žádný komentář. Buďte první...

>>> Číst a vkládat komentáře <<<
©2011-2020 BusinessIT.cz, ISSN 1805-0522 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
O vydavateli | Pravidla webu BusinessIT.cz a ochrana soukromí | pg(5490)