All’inizio di ottobre il Wall Street Journal ha pubblicato un articolo secondo il quale il software di Kaspersky Lab sarebbe stato usato per effettuare il download di dati classificati provenienti dal computer personale di un impiegato dell’NSA. Kaspersky Lab, in prima linea nella lotta al cyber spionaggio e al crimine informatico da oltre 20 anni, ha affrontato con la massima serietà queste accuse. Per riepilogare i fatti e rispondere a ogni dubbio, l’azienda ha condotto un’indagine interna.
I risultati preliminari dell’indagine sono stati pubblicati il 25 ottobre, delineando i risultati generali dell’investigazione di Kaspersky Lab alla ricerca di prove del presunto evento riportato dai media. Il nuovo report pubblicato oggi conferma i risultati iniziali e offre ulteriori informazioni sull’analisi della telemetria della soluzione Kaspersky Lab coinvolta nell’incidente. La telemetria descrive, infatti, le attività sospette registrate sul computer in questione durante l’arco temporale dell’incidente, che ha avuto luogo nel 2014.
Riassunto di background:
• In data 11 settembre 2014, una soluzione Kaspersky Lab installata sul computer di un utente situato negli Stati Uniti ha riportato un’infezione da parte di quelle che sembravano varianti del malware usato dal gruppo APT Equation - un gruppo criminale che lancia attacchi sofisticati la cui attività era sotto indagine da marzo 2014.
• Poco tempo dopo, l’utente sembra aver scaricato e installato un software pirata sul proprio dispositivo, nello specifico un file ISO di Microsoft Office e un tool di attivazione (o “keygen”) illegale di Microsoft Office 2013.
• Per installare la copia pirata di Office 2013, l’utente avrebbe disattivato la soluzione Kaspersky Lab sul proprio computer, poiché non sarebbe stato possibile eseguire il tool di attivazione illegale con l’antivirus attivo.
• Il tool di attivazione illegale contenuto nel file ISO di Office conteneva un malware che ha quindi infettato l’utente per un periodo di tempo non specificato durante il quale la soluzione Kaspersky Lab non era attiva. Il malware era una vera e propria backdoor che potrebbe aver consentito a terzi di accedere al dispositivo dell’utente.
• Una volta riattivata, la soluzione Kaspersky Lab ha rilevato il malware con il nome Backdoor.Win32.Mokes.hvl e gli ha impedito di contattare un noto server di comando e controllo. Il primo rilevamento del programma di installazione nocivo è avvenuto il 4 ottobre 2014.
• Inoltre, l’antivirus ha rilevato sia varianti note che già precedentemente conosciute del malware del gruppo Equation.
• Uno dei file rilevati dalla soluzione come nuova variante del malware Equation era un archivio 7zip, che secondo i termini del contratto utente e del contratto KSN è stato inviato al Kaspersky Virus Lab per ulteriori analisi.
• In seguito all’analisi, è stato scoperto che l’archivio conteneva numerosi file, inclusi tool noti e sconosciuti del gruppo Equation, codice sorgente e documenti classificati. Il ricercatore ha riferito l’incidente al CEO. Come richiesto da Eugene Kaspersky, l’archivio stesso, il codice sorgente e qualsiasi file apparentemente classificato sono stati eliminati dai sistemi dell’azienda nell’arco di pochi giorni. Tuttavia, i file binari legittimi del malware sono tuttora presenti nell’archivio di Kaspersky Lab, che non è stato condiviso con alcuna terza parte.
• I motivi per i quali Kaspersky Lab ha eliminato questi file e cancellerà simili file in futuro sono due: in primo luogo, per migliorare la protezione sono sufficienti i file binari del malware; secondariamente, l’azienda era preoccupata dalla gestione di materiali potenzialmente classificati.
• In seguito a questo incidente, è stata creata una nuova policy per tutti i malware analyst, che li obbliga a eliminare ogni materiale potenzialmente classificato accidentalmente raccolto durante la ricerca anti-malware.
• L’indagine non ha rilevato simili incidenti nel 2015, 2016 e 2017.
• Attualmente, non sono state rilevate nuove intrusioni di terze parti nel network di Kaspersky Lab oltre a Duqu 2.0.
Per garantire l’obiettività dell’indagine interna, sono stati coinvolti numerosi analisti inclusi ricercatori di origine non russa e che lavorano all’esterno dei confini russi per evitare possibili accuse di ingerenze.
Ulteriori scoperte
Una delle principali scoperte iniziali dell’indagine è che il PC in questione era stato infettato dalla backdoor Mokes, un malware che consente a utenti nocivi di ottenere l’accesso remoto al computer. Durante l’indagine, i ricercatori di Kaspersky Lab hanno analizzato approfonditamente la backdoor e altri dati telemetrici non legati a Equation provenienti dal computer.
• Lo strano background della backdoor Mokes
È noto che la backdoor Mokes (anche conosciuta come “Smoke Bot” o “Smoke Loader”) sia stata messa in vendita nei forum underground russi nel 2011. L’indagine di Kaspersky Lab ha rilevato che, nel periodo tra settembre e novembre 2014, i server di comando e controllo di questo malware erano stati registrati da un ente presumibilmente cinese chiamato “Zhou Lou”. Inoltre, ulteriori analisi della telemetria di Kaspersky Lab hanno evidenziato che la backdoor Mokes potrebbe non essere stata l’unico malware a infettare il PC in questione al momento dell’incidente, poiché altri tool di attivazione e keygen illegali sono stati rilevati sul dispositivo.
• Altri malware non legati a Equation
Nell’arco di due mesi, la soluzione ha riportato avvisi relativi a 121 campioni di malware non legati a Equation: backdoor, exploit, trojan e adware. Questi avvisi e la quantità limitata di dati telemetrici disponibili comportano che, mentre è possibile confermare che la soluzione Kaspersky Lab abbia rilevato le minacce, è impossibile determinare se esse siano state eseguite durante il periodo in cui la soluzione era disattivata.
Kaspersky Lab prosegue le attività di indagine relative agli altri sample nocivi e nuovi risultati verranno pubblicati al termine dell’analisi.
Conclusioni:
Le conclusioni complessive dell’indagine sono le seguenti:
• Il software Kaspersky Lab si è comportato come previsto e ha segnalato ai ricercatori gli alert relativi alle firme impostate per rilevare i malware del gruppo Equation, all’epoca già sotto indagine da sei mesi. Tutto ciò in conformità alla descrizione delle funzionalità del prodotto dichiarati, degli scenari e dei documenti legali che l'utente ha accettato prima dell'installazione del software.
• Le informazioni potenzialmente classificate sono state scaricate poiché erano contenute in un archivio rilevato attraverso una firma relativa al malware del gruppo Equation.
• Oltre al malware, l’archivio conteneva anche quello che sembrava essere il codice sorgente del malware Equation e quattro documenti Word che riportavano contrassegni di classificazione. Kaspersky Lab non possiede informazioni sul contenuto dei documenti in quanto essi sono stati cancellati nell’arco di pochi giorni.
• Kaspersky Lab non può stabilire se le informazioni siano state “trattate appropriatamente” (secondo le norme del governo americano) poiché i ricercatori dell’azienda non sono stati addestrati per gestire informazioni classificate degli Stati Uniti, né esiste alcun obbligo giuridico che li vincoli a farlo. Le informazioni non sono state condivise con alcuna terza parte.
• Al contrario di quanto riportato dai media, non è stata trovata alcuna prova che i ricercatori di Kaspersky Lab abbiano mai provato a impostare firme “silenziose” finalizzate a cercare documenti contenenti parole come “top secret”, “classificato” o simili.
• L’infezione da parte della backdoor Mokes e le possibili infezioni di altri malware non legati a Equation suggeriscono la possibilità che le informazioni dell’utente siano entrate in possesso di un numero sconosciuto di terze parti dopo aver ottenuto l’accesso remoto al computer.
In qualità di azienda completamente trasparente, Kaspersky Lab è disponibile a fornire maggiori dettagli relativi all’indagine a organizzazioni governative e clienti preoccupati dalle recenti notizie pubblicate dai media.
Il report completo è disponibile qui, mentre l’analisi tecnica della backdoor Mokes qui.
Informazioni su Kaspersky Lab
Kaspersky Lab è un’azienda di sicurezza informatica a livello globale che nel 2017 celebra i suoi primi 20 anni di attività. La profonda intelligence sulle minacce e l’expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell’azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it
Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://plus.google.com/+KasperskyItKL
https://www.linkedin.com/kasperskylabitalia
