16/11/2017

Wyniki śledztwa wewnętrznego w związku z rzekomym incydentem, o którym poinformowały amerykańskie media

Zagrożenia

Niniejszy post został zaktualizowany 27 października 2017 r. o ramy czasowe oraz FAQ, a także 16 listopada 2017 r. o nowe ustalenia. Szczegóły techniczne można znaleźć w raporcie opublikowanym w serwisie SecureList.

FAQ

Jaki był cel przeprowadzenia śledztwa wewnętrznego?

— W październiku 2017 r. amerykańskie media opisały incydent, w którym technologia Kaspersky Security Network rzekomo wydobyła w 2015 roku sklasyfikowane dane należące do amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA). Postanowiliśmy dokładnie przyjrzeć się tej sytuacji z przeszłości.

Czy firma Kaspersky Lab znalazła informacje o takim incydencie?

— Nie, nie znaleźliśmy nic na temat incydentu z 2015 roku. Jednak w 2014 r. miał miejsce incydent, który przypominał ten niedawno opisany przez media w raportach.

Co dokładnie się wtedy wydarzyło?

— Nasz produkt wykrył znany szkodliwy program Equation w systemie użytkownika. Później na tym samym systemie wykryty został także backdoor niebędący zagrożeniem Equation, który pochodził z nielegalnej kopii pakietu Microsoft Office, a także archiwum 7-Zip zawierające próbki nieznanego wcześniej szkodliwego oprogramowania. Następnie nasz produkt wysłał wspomniane archiwum do naszych badaczy w celu analizy. Jak się okazało, zawierało ono kod źródłowy szkodliwego programu, który był powiązany z ugrupowaniem Equation, jak również dokumenty programu Word zawierające oznaczenia klasyfikacyjne.

Jaki to był backdoor?

— Był to backdoor Mokes, znany również jako „Smoke Bot” czy „Smoke Loader”. Najbardziej interesujące jest to, że można go było kupić na rosyjskich forach podziemnych w 2011 roku. Warto również wspomnieć, że serwery kontroli tego szkodliwego programu zostały zarejestrowane (prawdopodobnie) na chiński podmiot działający pod nazwą „Zhou Lou” w okresie wrzesień-październik 2014 r.

Czy był to jedyny szkodliwy program rezydujący na wspomnianym komputerze?

— Trudno powiedzieć, gdyż przez dłuższy czas nasz produkt był wyłączony na tym systemie. Możemy jednak potwierdzić, że po włączeniu wygenerował on 121 alarmów dotyczących różnych szkodliwych programów niepowiązanych z zagrożeniem Equation: backdoorów, exploitów, trojanów i oprogramowania reklamowego. Wygląda więc na to, że komputer ten stał się dość popularnym celem ataków szkodliwych programów.

Czy oprogramowanie firmy Kaspersky Lab celowo wyszukiwało tego rodzaju archiwum, wykorzystując do tego takie słowa kluczowe jak „top secret czy „classified?

— Nie, szkodliwe archiwum zostało wykryte automatycznie przez nasze technologie ochrony proaktywnej.

Czy firma udostępniła to archiwum i/lub zawarte w nim pliki jakimś podmiotom zewnętrznym?

— Nie. Co więcej, archiwum to zostało natychmiastowo usunięte na polecenie dyrektora generalnego.

Dlaczego pliki te zostały usunięte?

— Stało się tak, ponieważ do zwiększania poziomu naszej ochrony nie potrzebujemy kodu źródłowego, nie wspominając o żadnych dokumentach programu Word zaklasyfikowanych jako tajne. Do tego celu wystarczą nam skompilowane pliki (binara) — te i tylko te pliki zostały w naszym posiadaniu.

Czy firma Kaspersky Lab znalazła jakiś dowód świadczący o włamaniu do jej sieci?

— W wewnętrznej sieci firmowej nie znaleźliśmy żadnego innego zagrożenia oprócz Duqu 2.0, o którym informowaliśmy publicznie tuż po odkryciu tego incydentu.

Czy firma jest chętna udostępnić swoje dane niezależnym podmiotom?

— Tak, jesteśmy gotowi udostępnić wszystkie dane na potrzeby przeprowadzenia niezależnego audytu. Więcej szczegółów technicznych można znaleźć w naszym raporcie opublikowanym w serwisie SecureList.

Pełne wyniki badania

W październiku 2017 roku Kaspersky Lab rozpoczął dogłębną analizę swoich dzienników telemetrycznych w związku z rzekomymi incydentami z 2015 r., które zostały opisane przez amerykańskie media. Firma wiedziała jedynie o jednym incydencie, który miał miejsce w 2014 r. podczas badania zagrożenia APT, gdy podsystemy wykrywające Kaspersky Lab zidentyfikowały pliki przypominające kod źródłowy szkodliwego oprogramowania grupy Equation. Firma zdecydowała się zatem sprawdzić, czy istniały jakieś podobne incydenty. Ponadto podjęto również decyzję o sprawdzeniu, czy w czasie rzekomego incydentu z 2015 r. w systemach Kaspersky Lab były jeszcze inne zagrożenia pochodzące z zewnątrz oprócz Duqu 2.0.

Wstępne wyniki przeprowadzonego przez nas dogłębnego badania w tej sprawie z 2014 r. są następujące:

  • Podczas badania zagrożenia APT (Advanced Persistent Threat) o nazwie Equation Kaspersky Lab zaobserwował infekcje na całym świecie, w ponad 40 krajach.
  • Część tych infekcji miała miejsce w Stanach Zjednoczonych.
  • W ramach standardowej procedury Kaspersky Lab poinformował odpowiednie instytucje rządowe w Stanach Zjednoczonych o aktywnych infekcjach APT w tym kraju.
  • Jedna z infekcji w Stanach Zjednoczonych obejmowała nowe, nieznane i poprawione odmiany szkodliwego oprogramowania, którego używała grupa Equation.
  • W incydencie, w którym wykryto nowe próbki zagrożenia Equation, wykorzystywane były produkty Kaspersky Lab przeznaczone dla użytkowników domowych, w których włączona była funkcja KSN oraz automatyczne wysyłanie próbek nowych i nieznanych szkodliwych programów.
  • Pierwsze wykrycie szkodliwych programów powiązanych z grupą Equation w ramach tego incydentu zostało zarejestrowane 11 września 2014 r. Wykryto następującą próbkę:

◦      44006165AABF2C39063A419BC73D790D

◦      mpdkg32.dll

Werdykt: HEUR:Trojan.Win32.GrayFish.gen

  • Okazało się również, że użytkownik musiał mieć pobrane i zainstalowane pirackie oprogramowanie na swoich komputerach, takie jak nielegalny generator kluczy aktywacyjnych dla pakietu Microsoft Office (md5: a82c0575f214bdc7c8ef5a06116cd2a4 – więcej informacji na temat wykrywania tego narzędzia znajduje się w na stronie VirusTotal), który był zainfekowany szkodliwym programem. Produkty Kaspersky Lab wykrywały ten szkodliwy program z werdyktem Win32.Mokes.hvl.
  • Szkodliwy program został wykryty w folderze o nazwie „Office-2013-PPVL-x64-en-US-Oct2013.iso”. Sugeruje to, że w systemie zamontowano obraz ISO jako wirtualny napęd/folder.
  • Procedury wykrywające szkodliwy program Backdoor.Win32.Mokes.hvl (zainfekowany generator kluczy) były dostępne w produktach Kaspersky Lab od 2013 r..
  • Pierwsze wykrycie szkodliwego (fałszywego) generatora kluczy na tej maszynie miało miejsce 4 października 2014 r..
  • Aby zainstalować i uruchomić wspomniany generator kluczy, użytkownik musiał wyłączyć produkt Kaspersky Lab na swoim komputerze. Dane telemetryczne Kaspersky Lab nie umożliwiają sprawdzenia, w jakim czasie antywirus został wyłączony, jednak fakt, że szkodliwe oprogramowanie zostało później wykryte jako aktywne w systemie, sugeruje, że antywirus został wyłączony lub ochrona nie była aktywna, gdy działał generator kluczy. Uruchomienie generatora kluczy nie byłoby możliwe przy włączonym antywirusie.
  • Użytkownik był zainfekowany szkodliwym programem przez nieokreślony czas, gdy produkt Kaspersky Lab był nieaktywny. Szkodliwy program dostarczony przez zainfekowany trojanem generator kluczy był pełnoprawnym backdoorem (szkodliwe narzędzie dające zdalny dostęp do zarażonej maszyny), który być może umożliwił stronom trzecim dostęp do komputera użytkownika.
  • Gdy użytkownik włączał program antywirusowy w późniejszym czasie, produkt Kaspersky Lab poprawnie wykrywał (z werdyktem: Backdoor.Win32.Mokes.hvl) i blokował działanie tego szkodliwego narzędzia.
  • W ramach dochodzenia badacze z Kaspersky Lab przyjrzeli się dokładniej temu backdoorowioraz innym danym telemetrycznym niezwiązanym z zagrożeniem Equation, które zostały wysłane z tego komputera. Powszechnie wiadomo, że backdoor Mokes (znany również jako „Smoke Bot” lub „Smoke Loader”) pojawił się na rosyjskich podziemnych forach, gdy został zaoferowany do nabycia w 2011 r.Z badania przeprowadzonego przez Kaspersky Lab wynika, że w okresie od września do listopada 2014 r. serwery kontroli tego szkodnika były zarejestrowane prawdopodobnie na chiński podmiot działający pod nazwą”Zhou Lou”.Analiza techniczna backdoora Mokes znajduje się tutaj.
  • Na przestrzeni dwóch miesięcy produkt Kaspersky Lab wygenerował alarmy dotyczące 121 obiektów szkodliwego oprogramowania niezwiązanego z ugrupowaniem Equation: backdoorów, exploitów, trojanów oraz programów AdWare. Na podstawie ograniczonej ilości dostępnych danych telemetrycznychmożemy potwierdzić zidentyfikowanie zagrożeń przez produkt Kaspersky Lab,jednak nie jest możliwe stwierdzenie, czy były one wykonywane w czasie, gdy produkt był wyłączony. Kaspersky Lab nadal bada pozostałe próbki szkodliwego oprogramowania. Dalsze wyniki zostaną opublikowane, jak tylko analiza zostanie ukończona.
  • Po zainfekowaniu szkodliwym programem Backdoor.Win32.Mokes.hvl użytkownik wielokrotnie przeprowadzał skanowanie komputera, co skutkowało wykrywaniem nowych i nieznanych odmian narzędzi grupy Equation.
  • Ostatnie wykrycie szkodliwego generatora kluczy na tej maszynie miało miejsce 17 listopada 2014 r.
  • Jednym z plików wykrytych przez produkt jako nowa odmiana narzędzia grupy Equation było archiwum programu 7-Zip.
  • Samo archiwum zostało zaklasyfikowane jako szkodliwe i wysłane do firmy Kaspersky Lab w celu analizy, gdzie zostało zbadane przez analityka. Następnie okazało się, że zawiera ono wiele próbek szkodliwego oprogramowania, kod, który wydawał się być kodem źródłowym narzędzia grupy Equation, a także cztery dokumenty programu Word oznaczone jako tajne.
  • Po wykryciu podejrzanego kodu źródłowego narzędzia grupy Equation analityk zgłosił ten incydent dyrektorowi generalnemu. Postępując zgodnie z jego wytycznymi, archiwum zostało usunięte ze wszystkich systemów Kaspersky Lab. Archiwum to nie zostało udostępnione żadnym podmiotom zewnętrznym.
  • W wyniku tego incydentu opracowano nową politykę obejmującą wszystkich analityków szkodliwego oprogramowania: obecnie mają oni obowiązek usuwać wszelkie potencjalnie tajne materiały, które zostały przypadkowo zebrane podczas badania przeprowadzonego przez oprogramowanie antywirusowe.
  • Kaspersky Lab usunął te pliki, i zawsze będzie usuwał podobne pliki w przyszłości, z dwóch powodów: po pierwsze, udoskonalenie ochrony wymaga jedynie binariów szkodliwego oprogramowania, po drugie, firma posiada obawy dotyczące postępowania z potencjalnie tajnymi materiałami.
  • Z komputera wspomnianego użytkownika nie zostały przesłane żadne inne sygnały o szkodliwych programach w 2015 r..
  • Po opublikowaniu przez Kaspersky Lab informacji o wykryciu zagrożenia Equation w lutym 2015 r. okazało się, że w tym samym zakresie adresów IP, w którym wykryto pierwotną infekcję, pojawiło się kilku innych użytkowników produktów Kaspersky Lab z włączoną funkcją KSN. Wyglądało na to, że były to specjalnie przygotowane „wabiki” – każdy komputer otrzymywał różne próbki związane z Equation. Żadne nietypowe (niewykonywalne) próbki nie zostały wykryte ani wysłane z tych „wabików”, a całe zdarzenie nie zostało szczegółowo przeanalizowane.
  • Badanie nie ujawniło żadnych innych powiązanych incydentów w 2015, 2016 czy 2017 r.
  • Do dziś żadne inne włamanie poza Duqu 2.0 nie zostało wykryte w sieciach firmy Kaspersky Lab..
  • Badanie potwierdziło, że Kaspersky Lab nigdy nie przygotował dla swoich produktów żadnych procedur wykrywania nieszkodliwych obiektów na podstawie takich słów kluczowych jak „top secret” czy „classified”.

Kaspersky Lab uważa, że powyższe informacje stanowią dokładną analizę incydentu z 2014 r. Badanie to wciąż jest w toku, a firma przedstawi dodatkowe informacje techniczne, gdy tylko będą one dostępne. Firma zamierza udostępniać wszelkie informacje związane z tym incydentem, w tym wszystkie informacje techniczne, zaufanym organom zewnętrznym w ramach inicjatywy Global Transparency Initiative na poczet weryfikacji krzyżowej.