25 października 2017

Wstępne wyniki śledztwa wewnętrznego w związku z rzekomym incydentem, o którym poinformowały amerykańskie media

W październiku 2017 roku Kaspersky Lab rozpoczął dogłębną analizę swoich dzienników telemetrycznych w związku z rzekomymi incydentami z 2015 r., które zostały opisane przez amerykańskie media. Firma wiedziała jedynie o jednym incydencie, który miał miejsce w 2014 r. podczas badania zagrożenia APT, gdy podsystemy wykrywające Kaspersky Lab zidentyfikowały pliki przypominające kod źródłowy szkodliwego oprogramowania grupy Equation. Firma zdecydowała się zatem sprawdzić, czy istniały jakieś podobne incydenty. Ponadto podjęto również decyzję o sprawdzeniu, czy w czasie rzekomego incydentu z 2015 r. w systemach Kaspersky Lab były jeszcze inne zagrożenia pochodzące z zewnątrz oprócz Duqu 2.0.

Wstępne wyniki przeprowadzonego przez Kaspersky Lab dogłębnego badania w tej sprawie z 2014 r. są następujące:

  • Podczas badania zagrożenia APT (Advanced Persistent Threat) o nazwie Equation Kaspersky Lab zaobserwował infekcje na całym świecie, w ponad 40 krajach.
  • Część tych infekcji miała miejsce w Stanach Zjednoczonych.
  • W ramach standardowej procedury Kaspersky Lab poinformował odpowiednie instytucje rządowe w Stanach Zjednoczonych o aktywnych infekcjach APT w tym kraju.
  • Jedna z infekcji w Stanach Zjednoczonych obejmowała nowe, nieznane i poprawione odmiany szkodliwego oprogramowania, którego używała grupa Equation.
  • W incydencie, w którym wykryto nowe próbki zagrożenia Equation, wykorzystywane były produkty Kaspersky Lab przeznaczone dla użytkowników domowych, w których włączona była funkcja KSN oraz automatyczne wysyłanie próbek nowych i nieznanych szkodliwych programów.
  • Pierwsze wykrycie szkodliwych programów powiązanych z grupą Equation w ramach tego incydentu zostało zarejestrowane 11 września 2014 r. Wykryto następującą próbkę:

    • 44006165AABF2C39063A419BC73D790D
    • mpdkg32.dll
    • Werdykt: HEUR:Trojan.Win32.GrayFish.gen
  • Okazało się również, że użytkownik musiał mieć pobrane i zainstalowane pirackie oprogramowanie na swoich komputerach, takie jak nielegalny generator kluczy aktywacyjnych dla pakietu Microsoft Office (md5: a82c0575f214bdc7c8ef5a06116cd2a4 - więcej informacji na temat wykrywania tego narzędzia znajduje się w na tej stronie VirusTotal), który był zainfekowany szkodliwym programem. Produkty Kaspersky Lab wykrywały ten szkodliwy program z werdyktem Backdoor.Win32.Mokes.hvl.
  • Szkodliwy program został wykryty w folderze o nazwie "Office-2013-PPVL-x64-en-US-Oct2013.iso". Sugeruje to, że w systemie zamontowano obraz ISO jako wirtualny napęd/folder.
  • Procedury wykrywające szkodliwy program Backdoor.Win32.Mokes.hvl (zainfekowany generator kluczy) były dostępne w produktach Kaspersky Lab od 2013 r.
  • Pierwsze wykrycie szkodliwego (fałszywego) generatora kluczy na tej maszynie miało miejsce 4 października 2014 r.
  • Aby zainstalować i uruchomić wspomniany generator kluczy, użytkownik musiał wyłączyć produkt Kaspersky Lab na swoim komputerze. Dane telemetryczne Kaspersky Lab nie umożliwiają sprawdzenia, w jakim czasie antywirus został wyłączony, jednak fakt, że szkodliwe oprogramowanie zostało później wykryte jako aktywne w systemie, sugeruje, że antywirus został wyłączony lub ochrona nie była aktywna, gdy działał generator kluczy. Uruchomienie generatora kluczy nie byłoby możliwe przy włączonym antywirusie.
  • Użytkownik był zainfekowany szkodliwym programem przez nieokreślony czas, gdy produkt Kaspersky Lab był nieaktywny. Szkodliwy program dostarczony przez zainfekowany trojanem generator kluczy był pełnoprawnym backdoorem (szkodliwe narzędzie dające zdalny dostęp do zarażonej maszyny), który być może umożliwił stronom trzecim dostęp do komputera użytkownika.
  • Gdy użytkownik włączał program antywirusowy w późniejszym czasie, produkt Kaspersky Lab poprawnie wykrywał (z werdyktem: Backdoor.Win32.Mokes.hvl) i blokował działanie tego szkodliwego narzędzia.
  • Po zainfekowaniu szkodliwym programem Backdoor.Win32.Mokes.hvl użytkownik wielokrotnie przeprowadzał skanowanie komputera, co skutkowało wykrywaniem nowych i nieznanych odmian narzędzi grupy Equation.
  • Ostatnie wykrycie szkodliwego generatora kluczy na tej maszynie miało miejsce 17 listopada 2014 r.
  • Jednym z plików wykrytych przez produkt jako nowa odmiana narzędzia grupy Equation było archiwum programu 7zip.
  • Samo archiwum zostało zaklasyfikowane jako szkodliwe i wysłane do firmy Kaspersky Lab w celu analizy, gdzie zostało zbadane przez analityka. Następnie okazało się, że zawiera ono wiele próbek szkodliwego oprogramowania oraz kod, który wydawał się być kodem źródłowym narzędzia grupy Equation.
  • Po wykryciu podejrzanego kodu źródłowego narzędzia grupy Equation analityk zgłosił ten incydent dyrektorowi generalnemu. Postępując zgodnie z jego wytycznymi, archiwum zostało usunięte ze wszystkich systemów Kaspersky Lab. Archiwum to nie zostało udostępnione żadnym podmiotom zewnętrznym.
  • Z komputera wspomnianego użytkownika nie zostały przesłane żadne inne sygnały o szkodliwych programach w 2015 r.
  • Po opublikowaniu przez Kaspersky Lab informacji o wykryciu zagrożenia Equation w lutym 2015 r. okazało się, że w tym samym zakresie adresów IP, w którym wykryto pierwotną infekcję, pojawiło się kilku innych użytkowników produktów Kaspersky Lab z włączoną funkcją KSN. Wyglądało na to, że były to specjalnie przygotowane "wabiki" - każdy komputer otrzymywał różne próbki związane z Equation. Żadne nietypowe (niewykonywalne) próbki nie zostały wykryte ani wysłane z tych "wabików", a całe zdarzenie nie zostało szczegółowo przeanalizowane.
  • Badanie nie ujawniło żadnych innych powiązanych incydentów w 2015, 2016 czy 2017 r.
  • Oprócz Duqu 2.0 żadne inne obce oprogramowanie nie zostało wykryte w sieciach firmy Kaspersky Lab.
  • Badanie potwierdziło, że Kaspersky Lab nigdy nie przygotował dla swoich produktów żadnych procedur wykrywania nieszkodliwych obiektów na podstawie takich słów kluczowych jak "top secret" czy "classified".
Kaspersky Lab uważa, że powyższe informacje stanowią dokładną analizę incydentu z 2014 r. Badanie to wciąż jest w toku, a firma przedstawi dodatkowe informacje techniczne, gdy tylko będą one dostępne. Firma zamierza udostępniać wszelkie informacje związane z tym incydentem, w tym wszystkie informacje techniczne, zaufanym organom zewnętrznym w ramach inicjatywy Global Transparency Initiative na poczet weryfikacji krzyżowej.