Ir para o conteúdo principal

No início de outubro, foi publicada no The Wall Street Journal uma história afirmando que o software da Kaspersky Lab foi usado para baixar dados sigilosos do computador residencial de um funcionário da NSA. Dado que a Kaspersky Lab está à frente da batalha contra a espionagem virtual e o crime cibernético há mais de 20 anos, essas alegações foram recebidas pela empresa com grande seriedade. Para juntar os fatos e resolver quaisquer questões, a Kaspersky Lab realizou uma investigação interna.

Os resultados preliminares da investigação foram publicados em 25 de outubro. Eles descreviam as conclusões gerais da empresa referentes à pesquisa de evidências do suposto evento divulgado pela mídia. O novo relatório publicado hoje confirma os resultados iniciais e apresenta informações adicionais sobre a análise da telemetria dos produtos da Kaspersky Lab relacionada ao incidente. Essa telemetria descreve atividades suspeitas registradas no computador em questão durante o intervalo de tempo do incidente, que ocorreu em 2014.

Histórico resumido:

  • Em 11 de setembro de 2014, um produto da Kaspersky Lab instalado no computador de um usuário dos EUA relatou uma infecção que parecia ser de variações do malware usado pelo grupo da APT Equation -- um sofisticado agente de ameaças virtuais cuja atividade já era investigada ativamente desde março de 2014.
  • Algum tempo depois, aparentemente, o usuário baixou e instalou algum software pirata na máquina, especificamente um arquivo ISO do Microsoft Office e uma ferramenta ilegal de ativação do Microsoft Office 2013 (conhecido como “keygen”).
  • Para instalar a cópia pirata do Office 2013, é provável que o usuário tenha desativado o produto da Kaspersky Lab no computador, pois não seria possível executar a ferramenta de ativação ilegal com o antivírus ativado.
  • Essa ferramenta contida no arquivo ISO do Office estava infectada com malware. O usuário ficou infectado por um período desconhecido, enquanto o produto da Kaspersky Lab estava inativo. O malware consistia em um backdoor completo, que poderia ter permitido o acesso de outros ao computador do usuário.
  • Quando reativado, o produto da Kaspersky Lab detectou o malware, emitindo o veredito Backdoor.Win32.Mokes.hvl, e bloqueou a chamada do malware para um servidor de comando e controle conhecido. O programa de instalação malicioso foi detectado pela primeira vez em 4 de outubro de 2014.
  • Além disso, o produto antivírus também descobriu variações novas e ainda desconhecidas do malware da APT Equation.
  • Um dos arquivos detectados pelo produto como uma nova variação do malware da APT Equation era um arquivo comprimido 7zip, que foi enviado de volta, de acordo com os acordos de licença do usuário final e KSN, para o Laboratório de Vírus da Kaspersky para análise posterior.
  • A análise mostrou que o arquivo comprimido continha inúmeros arquivos, que incluíam ferramentas conhecidas e desconhecidas do grupo Equation, código fonte e também documentos sigilosos. O analista comunicou o incidente ao CEO. Seguindo a solicitação do CEO, o próprio arquivo comprimido, o código fonte e todos os supostos dados sigilosos foram excluídos dos sistemas da empresa em questão de dias. No entanto, os arquivos que são binários de malware legítimos continuam no armazenamento da Kaspersky Lab até hoje. O arquivo comprimido não foi compartilhado com terceiros.
  • A Kaspersky Lab excluiu esses arquivos e sempre fará isso com arquivos semelhantes por dois motivos: primeiro, ela precisa apenas dos binários do malware para aprimorar a proteção e, segundo, ela se preocupa com o manuseio de material possivelmente sigiloso.
  • Por causa desse incidente, foi criada uma nova política para todos os analistas de malware: é obrigatório que eles excluam qualquer material possivelmente sigiloso que tenha sido coletado por acaso durante as pesquisas antimalware.
  • A investigação não identificou qualquer incidente semelhante em 2015, 2016 ou 2017.
  • Até o momento, nenhuma outra invasão de terceiros além do Duqu 2.0 foi detectada nas redes da Kaspersky Lab.

Para favorecer ainda mais a objetividade das investigações internas, elas são realizadas por vários analistas, inclusive os de origem não russa e que trabalham fora da Rússia, para evitar até possíveis acusações de influência. 

Conclusões adicionais

Uma das principais descobertas iniciais da investigação foi que o computador em questão foi infectado pelo backdoor Mokes, um malware que possibilita o acesso remoto dos usuários maliciosos a um computador.  Como parte da investigação, os pesquisadores da Kaspersky Lab examinaram o backdoor mais profundamente e outros dados de telemetria não relacionados à ameaça Equation enviados do computador. 

  • Histórico curioso do backdoor Mokes

É de conhecimento público que o backdoor Mokes (também conhecido como “Smoke Bot” ou “Smoke Loader”) surgiu nos fóruns clandestinos russos quando foi disponibilizado para compra em 2011. A pesquisa da Kaspersky Lab mostra que, no período de setembro a novembro de 2014, os servidores de comando e controle desse malware foram registrados aparentemente em nome de uma entidade chinesa, chamada “Zhou Lou”. Além disso, uma análise mais detalhada da telemetria da Kaspersky Lab indicou que o backdoor Mokes pode não ter sido o único malware a infectar o computador em questão no momento do incidente, pois outras ferramentas de ativação ilegal e keygens foram detectados na mesma máquina.

  • Mais malware além do Equation

Por um período de dois meses, o produto relatou alarmes sobre 121 de malware além do Equation: backdoors, exploits, cavalos de Troia e AdWare. Todos esses alertas, combinados com a quantidade limitada de dados de telemetria disponíveis, significam que, embora possamos confirmar que nosso produto identificou as ameaças, é impossível determinar se elas foram executadas enquanto o produto estava desativado.

A Kaspersky Lab continua pesquisando as outras amostras maliciosas, e os resultados serão publicados assim que a análise for concluída.

Conclusões:

As conclusões gerais da investigação são as seguintes:

  • O software de Kaspersky Lab teve o desempenho esperado e notificou nossos analistas sobre os alertas das assinaturas criadas para detectar o malware do grupo da APT Equation, que já estava sendo investigado há seis meses. Tudo isso de acordo com a descrição da funcionalidade, cenários e documentos legais declarados do produto que o usuário concordou antes da instalação do software.
  • As informações supostamente sigilosas foram retidas, pois estavam contidas em um arquivo comprimido que acionou a assinatura de malware específica da APT Equation.
  • Além do malware, o arquivo comprimido também continha o que parecia ser o código fonte do malware da APT Equation, além de quatro documentos do Word sinalizados como confidenciais. A Kaspersky Lab não tem informações sobre o conteúdo dos documentos, pois eles foram excluídos em questão de dias.
  • A Kaspersky Lab não é capaz de avaliar se os dados foram “manuseados adequadamente” (de acordo com as normas do Governo dos EUA), pois nossos analistas não foram treinados para lidar com informações confidenciais, nem têm qualquer obrigação legal de fazer isso. As informações não foram compartilhadas com terceiros.
  • Ao contrário do que foi publicado na mídia, não há provas de que os pesquisadores da Kaspersky Lab tenham tentado emitir assinaturas “silenciosas” com o objetivo de procurar documentos com palavras como “top secret” (secreto), “classified” (sigiloso) e outras palavras semelhantes.
  • A infecção do backdoor Mokes e possíveis infecções de outros malwares diferentes do Equation indicam a possibilidade de que os dados do usuário possam ter vazado para diversos terceiros desconhecidos em consequência do acesso remoto ao computador.

A Kaspersky Lab, com sua política de total transparência, está disponível para fornecer mais detalhes sobre a investigação, de maneira responsável e às partes relevantes de organizações do governo e de clientes preocupados com os relatos recentes da imprensa.

Leia o relatório completo aqui, bem como uma análise técnica do Backdoor Mokes aqui.

Kaspersky Lab publica resultados da investigação interna sobre o incidente com o código fonte da APT Equation

Novas constatações indicam possível acesso por vários terceiros a um computador contendo dados sigilosos
Kaspersky Logo