No início de Outubro, foi publicada uma notícia no The Wall Street Journal alegando que o software da Kaspersky Lab foi supostamente utilizado para descarregar dados classificados de um computador particular de um colaborador da NSA. Estas alegações foram tratadas com a máxima seriedade pela Kaspersky Lab.
Para recolher os factos e dissipar qualquer preocupação, a empresa conduziu uma investigação interna sobre o tema. Os resultados preliminares da investigação foram publicados a 25 de Outubro.
- Publicidade -
Um novo relatório publicado esta semana confirma os resultados iniciais e fornece informação adicional à análise da telemetria dos produtos da Kaspersky Lab relacionados com o incidente. Esta telemetria descreve a actividade suspeita registada no computador em questão durante o período do incidente, que ocorreu em 2014.
A 11 de Setembro de 2014, um produto da Kaspersky Lab instalado num computador de um utilizador localizado nos EUA detectou uma infecção do que aparentava ser uma variante do malware utilizado pelo grupo Equation APT – um actor de ciberameaças cuja actividade já havia estado sob investigação activa desde Março de 2014.
Algum tempo depois, o utilizador parece ter descarregado e instalado um software pirata no seu computador, nomeadamente um ficheiro ISO do Microsoft Office e uma ferramenta de activação ilegal do Microsoft Office 2013 (também conhecido como “keygen”).
Para instalar a cópia pirata do Office 2013, o utilizador aparenta ter desactivado o produto da Kaspersky Lab do seu computador, uma vez que a execução da ferramenta ilegal não teria sido possível com o antivírus ligado. A ferramenta de activação ilegal contida no ISO do Office foi infectada com malware. O utilizador foi infectado com este malware por um período indeterminado de tempo enquanto o produto da Kaspersky Lab estava inactivo. O malware consistia numa backdoor que poderia ter permitido o acesso de terceiros ao computador.
Quando reactivado, o produto da Kaspersky Lab detectou o malware como Backdoor.Win32.Mokes.hvl e bloqueou-o para que não contactasse com o servidor de controlo e comando. A primeira detecção do programa malicioso ocorreu a 4 de Outubro de 2014. Além disso, o produto detectou também variantes novas e outras já conhecidas do malware Equation APT.
- Publicidade -
Um dos arquivos detectados pelo produto, como novas variantes do malware Equation APT, foi um arquivo 7zip. O mesmo arquivo foi enviado de volta para o Kaspersky Virus Lab para posterior análise, de acordo com a licença KSN e do utilizador final.
Após análises, foi descoberto que o arquivo continha vários ficheiros, incluindo ferramentas conhecidas e desconhecidas do grupo Equation, o código fonte e documentos classificados. O investigador reportou o incidente ao CEO. Após um pedido do CEO, o arquivo, o código fonte e qualquer dado aparentemente classificado foi eliminado dos sistemas da empresa num espaço de dias. Apenas o malware binário foi armazenado, para análise e classificação, tal como é feito com todo o malware que é detectado. O arquivo não foi partilhado com terceiros.
As duas razões pelas quais a Kaspersky Lab eliminou esses arquivos e eliminará ficheiros semelhantes no futuro são: em primeiro lugar, a empresa «necessita apenas do malware para melhorar a sua protecção e, em segundo lugar, preocupa-se com a utilização do material potencialmente confidencial».
Devido a este incidente, uma nova política foi criada para todos os investigadores de malware: são agora obrigados a eliminar qualquer material potencialmente classificado que tenha sido recolhido acidentalmente durante qualquer investigação anti-malware. A investigação não revelou nenhum incidente semelhante em 2015, 2016 ou 2017, e até à data, nenhuma outra intrusão de terceiros, à parte do Duqu 2.0, foi detectada nas redes da Kaspersky Lab.
Para «apoiar ainda mais a objectividade da investigação interna participaram no processo vários investigadores, incluindo alguns cuja origem não fosse russa, bem como outros que trabalhassem fora do mesmo país para evitar possíveis acusações de influência».
Conclusões:
O software da Kaspersky Lab teve o desempenho esperado e notificou os investigadores de alertas em assinaturas criadas para detectar o malware do grupo Equation APT que já estava sob investigação há seis meses. Tudo isto de acordo com a descrição das funcionalidades, cenários e documentos legais declarados do produto com os quais o utilizador concordou anteriormente à instalação do software.
Eliminou-se o que se acreditava ser informação potencialmente classificada e que fazia parte de um arquivo que activou uma assinatura específica do malware Equation APT. Além do malware, o arquivo continha também o que aparentava ser o código-fonte para o malware Equation APT e quatro documentos Word aparentemente classificados. A Kaspersky Lab não possui informações sobre o conteúdo destes documentos uma vez que os mesmos foram eliminados num espaço de dias.
A Kaspersky Lab não consegue determinar se os dados foram “tratados apropriadamente” (de acordo com as normas do governo norte-americano) uma vez que os seus investigadores «não estão capacitados para tratar informação norte-americana classificada, nem têm nenhuma obrigação legal de o fazer. A informação não foi partilhada com quaisquer entidades terceiras».
Ao contrário de várias publicações por parte dos media, não foi encontrada nenhuma prova de que os investigadores da Kaspersky Lab tenham tentado emitir assinaturas “silenciosas” com o objectivo de procurar documentos com palavras como “top secret” e “classificado” ou outras palavras semelhantes.
A infecção pelo backdoor Mokes e potenciais infecções de outro malware não relacionado com o Equation apontam para a possibilidade de um número desconhecido de terceiros tenha acedido aos dados deste utilizador em concreto como resultado do acesso remoto ao computador.
A Kaspersky Lab pode proporcionar detalhes adicionais da investigação a entidades governamentais, bem como a clientes preocupados com as recentes notícias.
Via Kaspersky Lab.
