Incidentes nos EUA em 2015: o que dizem nossas investigações

Em outubro de 2017, a Kaspersky Lab deu início a uma revisão detalhada de sua telemetria em relação aos supostos incidentes de 2015 divulgados na mídia.

Em resumo

– Sobre o que foi essa investigação interna?
Recentemente, vários meios de comunicação dos EUA reportaram um incidente envolvendo a Kaspersky Security Network e dados secretos da NSA supostamente exfiltrados em 2015. Decidimos verificar novamente tudo.

– Descobriram informações?
Não, nada sobre um incidente de 2015. No entanto, houve um em 2014 que se assemelhava ao que foi descrito recentemente na mídia.

– O que aconteceu exatamente?
Nosso produto detectou um malware Equation no sistema do usuário. Mais tarde, na mesma máquina, também uma backdoor (conhecida desde 2013) em um gerador de chave de produto para o Microsoft Office e um arquivo 7-Zip com amostras de malware anteriormente desconhecidas no sistema de um usuário. Depois de detectá-los, nosso produto enviou o arquivo aos nossos pesquisadores para análise. Ele continha código-fonte de malware que parecia relacionado ao Equation Group, assim como vários documentos classificados como confidenciais.

– O que era o backdoor?
Mokes, também conhecido como “Smoke Bot” ou “Smoke Loader”. O interessante sobre esse malware é que estava disponível para compra em fóruns russos subterrâneos em 2011. Também é se destaca que os servidores de comando e controle deste malware foram registrados em uma entidade (presumivelmente) chinesa de nome “Zhou Lou” de setembro a novembro de 2014.

– Foi o único malware encontrado?
Difícil de dizer: nosso produto foi desativado neste sistema por um período significativo de tempo. No entanto, podemos dizer que, enquanto esteve habilitado, relatou 121 alarmes em diferentes tipos de malware não-Equation: backdoors, exploits, trojans e adware. Parece que este PC tornou-se um popular alvo de malware.

– O software da KL buscou intencionalmente esse tipo de arquivo – usando palavras-chave como “top secret” ou “classificado”, por exemplo?
Não. O arquivo malicioso foi detectado automaticamente por nossas tecnologias de proteção pró-ativa.

– A Kaspersky compartilhou esse arquivo e/ou arquivos contidos com terceiros?
Não. Além disso, imediatamente excluímos tudo por ordem do CEO.

– Por que a Kaspersky excluiu os arquivos?
Porque não precisamos do código fonte, muito menos presumivelmente classificamos documentos do Word, para melhorar nossa proteção. Os arquivos compilados (binários) são mais do que suficientes para isso – apenas esses permanecem em nosso armazenamento.

– A Kaspersky encontrou alguma evidência de sua rede corporativa estar comprometida?
Além do Duqu 2.0, que informamos publicamente após o incidente, não.

– Vocês estão dispostos a compartilhar seus dados com uma entidade independente?
Sim, estamos preparados para fornecer todos os dados para uma auditoria independente.

Em detalhes

Em outubro de 2017, a Kaspersky Lab iniciou uma auditoria interna de nossos registros em relação a supostos incidentes de 2015 divulgados na mídia. Estávamos cientes de apenas um desses, que ocorreu em 2014, durante uma investigação de uma APT. Naquela ocasião, nossos sistemas de detecção pegaram o que pareciam ser arquivos do malware Equation e decidimos verificar se existiam outros incidentes. Além disso, investigamos se havia presença de terceiros em nossos sistemas além do Duqu 2.0.

Realizamos profundas investigações associadas ao incidente de 2014 e os resultados preliminares são:

  • Durante as análises do Equation APT (Sigla para Advanced Persistent Threat), observamos infecções ao redor do mundo inteiro, em mais de 40 países.
  • Algumas das ocorrências foram nos EUA.
  • Como procedimento de rotina, a Kaspersky Lab informou o tempo inteiro as autoridades americanas sobre as infecções ativas do APT no país.
  • Uma das infecções em território norte-americano se assemelhou a uma variação desconhecida do malware usado pelo grupo Equation.
  • O incidente no qual as novas amostras do Equation foram detectadas usava nossa linha de produtos para usuários domésticos, com a KSN e envio de amostras de malwares desconhecidos ambos habilitados.
  • A primeira vez que o malware Equation foi detectado foi em 11 de setembro de 2014. A detecção foi:
    • 44006165AABF2C39063A419BC73D790D
    • mpdkg32.dll

Veredito HEUR:Trojan.Win32.GrayFish.gen

  • Olhando essas detecções mais de perto, descobrimos que o usuário baixou e instalou um software pirata que se passava por um gerador de códigos de ativação falso para softwares da Microsoft (keygen) (md5: a82c0575f214bdc7c8ef5a06116cd2a4 – para mais informações sobre a cobertura da detecção, vá para esse link da VirusTotal) que continha malware. Os produtos da Kaspersky Lab o detectaram como Win32.Mokes.hvl.
  • O malware foi detectado dentro de uma pasta de nome “Office-2013-PPVL-x64-en-US-Oct2013.iso”. Isso sugere que uma imagem ISO foi montada no sistema em um drive/pasta virtual.
  • Detecção para o Backdoor.Win32.Mokes.hvl (o keygen falsificado) existe nos produtos da Kaspersky Lab desde 2013.
  • A primeira detecção do keygen malicioso nessa máquina foi em 4 de outubro de 2014.
  • Para instalar e executar esse keygen, o usuário desabilitou os produtos da Kaspersky em sua máquinas. Nossa telemetria não permite que saibamos quando o antivírus é desligado, entretanto, o fato de a detecção ter ocorrido mais tarde sugere que quando instalado o antivírus estava desativado. Executá-lo não seria possível com nosso software ativado.
  • O usuário permaneceu infectado com esse malware por um período desconhecido, no qual o produto ficou desativado. O malware instalado criou uma backdoor que permitia a terceiros acesso à máquina.
  • Mais tarde, quando o usuário reabilitou o antivírus, o produto detectou (Win32.Mokes.hvl) e impediu que o malware continuasse a ser executado.
  • Como parte da investigação atual, os pesquisadores da Kaspersky examinaram mais profundamente esta backdoor e outros malware não-Equation enviados pelo computador. É de conhecimento público que o Backdoor Mokes (também conhecido como “Smoke Bot” ou “Smoke Loader”) apareceu em fóruns subterrâneos russos em 2011. A pesquisa da Kaspersky mostra que, durante o período de setembro a novembro de 2014, os servidores de comando e controle deste malware foram registrados em uma entidade aparentemente chinesa de nome “Zhou Lou”. A análise do Mokes pode ser encontrada aqui.
  • Durante um período de dois meses, o produto instalado no sistema em questão relatou alertas em 121 itens de malware não relacionados com o Equation: backdoors, exploits, cavalos de Tróia e adware. A quantidade limitada de telemetria disponível nos permite confirmar o nosso produto identificou as ameaças; no entanto, é impossível determinar se estavam em execução durante o período em que o produto estava desativado. A Kaspersky Lab continua a pesquisar as outras amostras maliciosas, e outros resultados serão publicados assim que a análise for concluída.
  • Depois disso, o usuário verificou o computador diversas vezes, resultando na detecção de uma variação desconhecida do malware Equation.
  • A última detecção nessa máquina foi em 17 de novembro de 2014.
  • Um dos arquivos encontrados por nossos produtos como nova variante do Equation era um arquivo 7zip.
  • O arquivo em si foi detectado como malicioso e enviado para a análise da Kaspersky Lab, de forma a ser processado por um de nossos experts em segurança. Durante a análise, descobriu-se que o arquivo continha diversas amostras de malware e código-fonte que pareciam o Equation.
  • Depois de descobrir o suposto código fonte do Equation, o analista reportou o incidente ao CEO. A pedido desse, o arquivo foi deletado e não foi compartilhado com terceiros.
  • Devido a esse incidente, uma nova política foi criada para os analistas de malware: eles devem apagar quaisquer arquivos classificados como confidenciais acidentalmente coletados durante pesquisa antimalware.
  • Há duas razões pelas quais a Kaspersky Lab apagou esses arquivos e o fará com similares: primeiro, precisamos somente dos binários para aumentar nossa proteção e, segundo, temos preocupações com arquivos potencialmente confidenciais.
  • Nenhuma detecção foi recebida deste usuário em 2015.
  • Depois do nosso anúncio sobre o Equation em fevereiro de 2015, apareceram diversos usuários com a KSN habilitada na mesma área de IP da detecção original. Esses foram configurados como “honeypots”, cada computador carregado com diversas amostras relacionadas ao malware. Nenhuma amostra incomum (não-executável) foi detectada e submetida desses “honeypots” e as detecções não foram processadas de maneira especial.
  • A investigação não revelou qualquer incidente relacionado em 2015, 2016 ou 2017.
  • Nenhuma intrusão de terceiros, além do Duqu 2.0, jamais foi detectada nas redes da Kaspersky Lab.
  • A investigação confirmou que a Kaspersky Lab jamais criara qualquer detecção de documentos não-maliciosos em seus produtos baseados em palavras como “super secreto” ou “confidencial”.

Acreditamos que o exposto acima trata-se de análise verdadeira dos incidentes de 2014. A investigação ainda está em andamento, e a empresa fornecerá informações técnicas adicionais à medida que se tornam disponíveis. Planejamos compartilhar as informações completas sobre o ocorrido, o que inclui todos os detalhes técnicos confiáveis, como parte de nossa Iniciativa de Transparência Global.

Este post foi atualizado em 27 de outubro e em 16 de Novembro para incluir mais detalhes e descobertas. Detalhes técnicos podem ser encontrados aqui no Securelist.

Dicas