{"id":9792,"date":"2017-10-27T13:18:30","date_gmt":"2017-10-27T16:18:30","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=9792"},"modified":"2022-05-05T08:57:02","modified_gmt":"2022-05-05T11:57:02","slug":"internal-investigation-preliminary-results","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/internal-investigation-preliminary-results\/9792\/","title":{"rendered":"Incidentes nos EUA em 2015: o que dizem nossas investiga\u00e7\u00f5es"},"content":{"rendered":"<h3>Em resumo<\/h3>\n<p><strong>\u2013 Sobre o que foi essa investiga\u00e7\u00e3o interna?<br>\n<\/strong><em>Recentemente, v\u00e1rios meios de comunica\u00e7\u00e3o dos EUA reportaram um incidente envolvendo a Kaspersky Security Network e dados secretos da NSA supostamente exfiltrados em 2015. Decidimos verificar novamente tudo.<\/em><\/p>\n<p><strong>\u2013 Descobriram informa\u00e7\u00f5es?<br>\n<\/strong><em>N\u00e3o, nada sobre um incidente de 2015. No entanto, houve um em 2014 que se assemelhava ao que foi descrito recentemente na m\u00eddia.<\/em><\/p>\n<p><strong>\u2013 O que aconteceu exatamente?<br>\n<\/strong><em>Nosso produto detectou um malware Equation no sistema do usu\u00e1rio. Mais tarde, na mesma m\u00e1quina, tamb\u00e9m uma backdoor (conhecida desde 2013) em um gerador de chave de produto para o Microsoft Office e um arquivo 7-Zip com amostras de malware anteriormente desconhecidas no sistema de um usu\u00e1rio. Depois de detect\u00e1-los, nosso produto enviou o arquivo aos nossos pesquisadores para an\u00e1lise. Ele continha c\u00f3digo-fonte de malware que parecia relacionado ao <a href=\"https:\/\/www.kaspersky.com.br\/blog\/equation-malware-indestrutivel\/4837\/\" target=\"_blank\" rel=\"noopener\">Equation Group, <\/a><\/em>assim como v\u00e1rios documentos classificados como confidenciais.<\/p>\n<p><strong>\u2013 O que era o backdoor?<br>\n<\/strong><em>Mokes, tamb\u00e9m conhecido como \u201cSmoke Bot\u201d ou \u201cSmoke Loader\u201d. O interessante sobre esse malware \u00e9 que estava dispon\u00edvel para compra em f\u00f3runs russos subterr\u00e2neos em 2011. Tamb\u00e9m \u00e9 se destaca que os servidores de comando e controle deste malware foram registrados em uma entidade (presumivelmente) chinesa de nome \u201cZhou Lou\u201d de setembro a novembro de 2014.<\/em><\/p>\n<p><strong>\u2013 Foi o \u00fanico malware encontrado?<br>\n<\/strong><em>Dif\u00edcil de dizer: nosso produto foi desativado neste sistema por um per\u00edodo significativo de tempo. No entanto, podemos dizer que, enquanto esteve habilitado, relatou 121 alarmes em diferentes tipos de malware n\u00e3o-Equation: backdoors, exploits, trojans e adware. Parece que este PC tornou-se um popular alvo de malware.<\/em><\/p>\n<p><strong>\u2013 O software da KL buscou intencionalmente esse tipo de arquivo \u2013 usando palavras-chave como \u201ctop secret\u201d ou \u201cclassificado\u201d, por exemplo?<br>\n<\/strong><em>N\u00e3o. O arquivo malicioso foi detectado automaticamente por nossas tecnologias de prote\u00e7\u00e3o pr\u00f3-ativa.<\/em><\/p>\n<p><strong>\u2013 A Kaspersky compartilhou esse arquivo e\/ou arquivos contidos com terceiros?<br>\n<\/strong><em>N\u00e3o. Al\u00e9m disso, imediatamente exclu\u00edmos tudo por ordem do CEO.<\/em><\/p>\n<p><strong>\u2013 Por que a Kaspersky excluiu os arquivos?<\/strong><br>\n<em>Porque n\u00e3o precisamos do c\u00f3digo fonte, muito menos presumivelmente classificamos documentos do Word, para melhorar nossa prote\u00e7\u00e3o. Os arquivos compilados (bin\u00e1rios) s\u00e3o mais do que suficientes para isso \u2013 apenas esses permanecem em nosso armazenamento.<\/em><\/p>\n<p><strong>\u2013 A Kaspersky encontrou alguma evid\u00eancia de sua rede corporativa estar comprometida?<br>\n<\/strong><em>Al\u00e9m do <a href=\"https:\/\/www.kaspersky.com.br\/blog\/kaspersky-statement-duqu-attack\/5407\/\" target=\"_blank\" rel=\"noopener\">Duqu 2.0<\/a>, que informamos publicamente ap\u00f3s o incidente, n\u00e3o.<\/em><\/p>\n<p><strong>\u2013 Voc\u00eas est\u00e3o dispostos a compartilhar seus dados com uma entidade independente?<br>\n<\/strong><em>Sim, estamos preparados para fornecer todos os dados para uma auditoria independente.<br>\n<\/em><\/p>\n<h3>Em detalhes<\/h3>\n<p>Em outubro de 2017, a Kaspersky Lab iniciou uma auditoria interna de nossos registros em rela\u00e7\u00e3o a supostos incidentes de 2015 divulgados na m\u00eddia. Est\u00e1vamos cientes de apenas um desses, que ocorreu em 2014, durante uma investiga\u00e7\u00e3o de uma APT. Naquela ocasi\u00e3o, nossos sistemas de detec\u00e7\u00e3o pegaram o que pareciam ser arquivos do malware Equation e decidimos verificar se existiam outros incidentes. Al\u00e9m disso, investigamos se havia presen\u00e7a de terceiros em nossos sistemas al\u00e9m do <a href=\"https:\/\/www.kaspersky.com.br\/blog\/kaspersky-statement-duqu-attack\/5407\/\" target=\"_blank\" rel=\"noopener\">Duqu 2.0<\/a>.<\/p>\n<p>Realizamos profundas investiga\u00e7\u00f5es associadas ao incidente de 2014 e os resultados preliminares s\u00e3o:<\/p>\n<ul>\n<li>Durante as an\u00e1lises do Equation APT (Sigla para Advanced Persistent Threat), observamos infec\u00e7\u00f5es ao redor do mundo inteiro, em mais de 40 pa\u00edses.<\/li>\n<li>Algumas das ocorr\u00eancias foram nos EUA.<\/li>\n<li>Como procedimento de rotina, a Kaspersky Lab informou o tempo inteiro as autoridades americanas sobre as infec\u00e7\u00f5es ativas do APT no pa\u00eds.<\/li>\n<li>Uma das infec\u00e7\u00f5es em territ\u00f3rio norte-americano se assemelhou a uma varia\u00e7\u00e3o desconhecida do malware usado pelo grupo Equation.<\/li>\n<li>O incidente no qual as novas amostras do Equation foram detectadas usava nossa linha de produtos para usu\u00e1rios dom\u00e9sticos, com a <a href=\"https:\/\/www.kaspersky.com.br\/blog\/como-funciona-a-seguranca-em-nuvem-com-o-ksn\/5271\/\" target=\"_blank\" rel=\"noopener\">KSN<\/a> e envio de amostras de malwares desconhecidos ambos habilitados.<\/li>\n<li>A primeira vez que o malware Equation foi detectado foi em 11 de setembro de 2014. A detec\u00e7\u00e3o foi:<\/li>\n<\/ul>\n<ul>\n<li style=\"list-style-type: none\">\n<ul>\n<li>44006165AABF2C39063A419BC73D790D<\/li>\n<li>mpdkg32.dll<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Veredito HEUR:Trojan.Win32.GrayFish.gen<\/p>\n<ul>\n<li>Olhando essas detec\u00e7\u00f5es mais de perto, descobrimos que o usu\u00e1rio baixou e instalou um software pirata que se passava por um gerador de c\u00f3digos de ativa\u00e7\u00e3o falso para softwares da Microsoft (keygen) (md5: a82c0575f214bdc7c8ef5a06116cd2a4 \u2013 para mais informa\u00e7\u00f5es sobre a cobertura da detec\u00e7\u00e3o, v\u00e1 para <a href=\"https:\/\/www.virustotal.com\/#\/file\/6bcd591540dce8e0cef7b2dc6a378a10d79f94c3217bca5f05db3c24c2036340\/detection\" target=\"_blank\" rel=\"noopener nofollow\">esse link da VirusTotal<\/a>) que continha malware. Os produtos da Kaspersky Lab o detectaram como <strong>Win32.Mokes.hvl<\/strong>.<\/li>\n<li>O malware foi detectado dentro de uma pasta de nome \u201cOffice-2013-PPVL-x64-en-US-Oct2013.iso\u201d. Isso sugere que uma imagem ISO foi montada no sistema em um drive\/pasta virtual.<\/li>\n<li>Detec\u00e7\u00e3o para o Backdoor.Win32.Mokes.hvl (o keygen falsificado) existe nos produtos da Kaspersky Lab desde 2013.<\/li>\n<li>A primeira detec\u00e7\u00e3o do keygen malicioso nessa m\u00e1quina foi em 4 de outubro de 2014.<\/li>\n<li>Para instalar e executar esse keygen, o usu\u00e1rio desabilitou os produtos da Kaspersky em sua m\u00e1quinas. Nossa telemetria n\u00e3o permite que saibamos quando o antiv\u00edrus \u00e9 desligado, entretanto, o fato de a detec\u00e7\u00e3o ter ocorrido mais tarde sugere que quando instalado o antiv\u00edrus estava desativado. Execut\u00e1-lo n\u00e3o seria poss\u00edvel com nosso software ativado.<\/li>\n<li>O usu\u00e1rio permaneceu infectado com esse malware por um per\u00edodo desconhecido, no qual o produto ficou desativado. O malware instalado criou uma backdoor que permitia a terceiros acesso \u00e0 m\u00e1quina.<\/li>\n<li>Mais tarde, quando o usu\u00e1rio reabilitou o antiv\u00edrus, o produto detectou (<strong>Win32.Mokes.hvl) <\/strong>e impediu que o malware continuasse a ser executado.<\/li>\n<li>Como parte da investiga\u00e7\u00e3o atual, os pesquisadores da Kaspersky examinaram mais profundamente esta backdoor e outros malware n\u00e3o-Equation enviados pelo computador. \u00c9 de conhecimento p\u00fablico que o Backdoor Mokes (tamb\u00e9m conhecido como \u201cSmoke Bot\u201d ou \u201cSmoke Loader\u201d) apareceu em f\u00f3runs subterr\u00e2neos russos em 2011. A pesquisa da Kaspersky mostra que, durante o per\u00edodo de setembro a novembro de 2014, os servidores de comando e controle deste malware foram registrados em uma entidade aparentemente chinesa de nome \u201cZhou Lou\u201d. A an\u00e1lise do Mokes pode ser encontrada <a href=\"https:\/\/kasperskycontenthub.com\/securelist\/files\/2017\/11\/Appendix_Mokes-SmokeBot_analysis.pdf\" target=\"_blank\" rel=\"noopener nofollow\">aqui<\/a>.<\/li>\n<li>Durante um per\u00edodo de dois meses, o produto instalado no sistema em quest\u00e3o relatou alertas em 121 itens de malware n\u00e3o relacionados com o Equation: backdoors, exploits, cavalos de Tr\u00f3ia e adware. A quantidade limitada de telemetria dispon\u00edvel nos permite confirmar o nosso produto identificou as amea\u00e7as; no entanto, \u00e9 imposs\u00edvel determinar se estavam em execu\u00e7\u00e3o durante o per\u00edodo em que o produto estava desativado. A Kaspersky Lab continua a pesquisar as outras amostras maliciosas, e outros resultados ser\u00e3o publicados assim que a an\u00e1lise for conclu\u00edda.<\/li>\n<li>Depois disso, o usu\u00e1rio verificou o computador diversas vezes, resultando na detec\u00e7\u00e3o de uma varia\u00e7\u00e3o desconhecida do malware <a href=\"https:\/\/www.kaspersky.com.br\/blog\/equation-malware-indestrutivel\/4837\/\" target=\"_blank\" rel=\"noopener\">Equation<\/a>.<\/li>\n<li>A \u00faltima detec\u00e7\u00e3o nessa m\u00e1quina foi em 17 de novembro de 2014.<\/li>\n<li>Um dos arquivos encontrados por nossos produtos como nova variante do Equation era um arquivo 7zip.<\/li>\n<li>O arquivo em si foi detectado como malicioso e enviado para a an\u00e1lise da Kaspersky Lab, de forma a ser processado por um de nossos experts em seguran\u00e7a. Durante a an\u00e1lise, descobriu-se que o arquivo continha diversas amostras de malware e c\u00f3digo-fonte que pareciam o Equation.<\/li>\n<li>Depois de descobrir o suposto c\u00f3digo fonte do Equation, o analista reportou o incidente ao CEO. A pedido desse, o arquivo foi deletado e n\u00e3o foi compartilhado com terceiros.<\/li>\n<li>Devido a esse incidente, uma nova pol\u00edtica foi criada para os analistas de malware: eles devem apagar quaisquer arquivos classificados como confidenciais acidentalmente coletados durante pesquisa antimalware.<\/li>\n<li>H\u00e1 duas raz\u00f5es pelas quais a Kaspersky Lab apagou esses arquivos e o far\u00e1 com similares: primeiro, precisamos somente dos bin\u00e1rios para aumentar nossa prote\u00e7\u00e3o e, segundo, temos preocupa\u00e7\u00f5es com arquivos potencialmente confidenciais.<\/li>\n<li>Nenhuma detec\u00e7\u00e3o foi recebida deste usu\u00e1rio em 2015.<\/li>\n<li>Depois do nosso an\u00fancio sobre o Equation em fevereiro de 2015, apareceram diversos usu\u00e1rios com a KSN habilitada na mesma \u00e1rea de IP da detec\u00e7\u00e3o original. Esses foram configurados como \u201choneypots\u201d, cada computador carregado com diversas amostras relacionadas ao malware. Nenhuma amostra incomum (n\u00e3o-execut\u00e1vel) foi detectada e submetida desses \u201choneypots\u201d e as detec\u00e7\u00f5es n\u00e3o foram processadas de maneira especial.<\/li>\n<li>A investiga\u00e7\u00e3o n\u00e3o revelou qualquer incidente relacionado em 2015, 2016 ou 2017.<\/li>\n<li>Nenhuma intrus\u00e3o de terceiros, al\u00e9m do Duqu 2.0, jamais foi detectada nas redes da Kaspersky Lab.<\/li>\n<li>A investiga\u00e7\u00e3o confirmou que a Kaspersky Lab jamais criara qualquer detec\u00e7\u00e3o de documentos n\u00e3o-maliciosos em seus produtos baseados em palavras como \u201csuper secreto\u201d ou \u201cconfidencial\u201d.<\/li>\n<\/ul>\n<p>Acreditamos que o exposto acima trata-se de an\u00e1lise verdadeira dos incidentes de 2014. A investiga\u00e7\u00e3o ainda est\u00e1 em andamento, e a empresa fornecer\u00e1 informa\u00e7\u00f5es t\u00e9cnicas adicionais \u00e0 medida que se tornam dispon\u00edveis. Planejamos compartilhar as informa\u00e7\u00f5es completas sobre o ocorrido, o que inclui todos os detalhes t\u00e9cnicos confi\u00e1veis, como parte de nossa <a href=\"https:\/\/www.kaspersky.com.br\/blog\/transparency-initiative\/9774\/\" target=\"_blank\" rel=\"noopener\">Iniciativa de Transpar\u00eancia Global<\/a>.<\/p>\n<div class=\"entry-content post_content\">\n<p><strong>Este post foi atualizado em 27 de outubro e em 16 de Novembro para incluir mais detalhes e descobertas. Detalhes t\u00e9cnicos podem ser encontrados aqui <a href=\"https:\/\/securelist.com\/investigation-report-for-the-september-2014-equation-malware-detection-incident-in-the-us\/83210\/\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">no Securelist.<\/a><\/strong><\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Em outubro de 2017, a Kaspersky Lab deu in\u00edcio a uma revis\u00e3o detalhada de sua telemetria em rela\u00e7\u00e3o aos supostos incidentes de 2015 divulgados na m\u00eddia.<\/p>\n","protected":false},"author":2706,"featured_media":9793,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[14],"tags":[71,1321,1322,759,760,640,1323,1316],"class_list":{"0":"post-9792","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-apt","9":"tag-backdoors","10":"tag-deteccao","11":"tag-duqu","12":"tag-duqu-2-0","13":"tag-equation","14":"tag-keygens","15":"tag-transparencia"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/internal-investigation-preliminary-results\/9792\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/internal-investigation-preliminary-results\/11668\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/internal-investigation-preliminary-results\/9727\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/internal-investigation-preliminary-results\/13084\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/internal-investigation-preliminary-results\/12003\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/internal-investigation-preliminary-results\/11632\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/internal-investigation-preliminary-results\/14660\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/internal-investigation-preliminary-results\/14381\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/internal-investigation-preliminary-results\/19108\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/internal-investigation-preliminary-results\/4332\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/internal-investigation-preliminary-results\/19894\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/internal-investigation-preliminary-results\/8412\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/internal-investigation-preliminary-results\/8742\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/internal-investigation-preliminary-results\/18783\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/internal-investigation-preliminary-results\/18967\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/internal-investigation-preliminary-results\/18956\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/transparencia\/","name":"Transpar\u00eancia"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/9792","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=9792"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/9792\/revisions"}],"predecessor-version":[{"id":13004,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/9792\/revisions\/13004"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/9793"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=9792"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=9792"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=9792"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}