HomeTecnologiaCibersegurançaKaspersky Lab publica resultados de investigação interna ao incidente com o código-fonte da Equation APT

Kaspersky Lab publica resultados de investigação interna ao incidente com o código-fonte da Equation APT

  
  • Novas descobertas apontam para a possibilidade de acesso por parte de terceiros a um computador que continha informação classificada
  • Tendo em conta que a Kaspersky Lab tem estado na vanguarda do combate à ciberespionagem e ao cibercrime há mais de 20 anos, estas alegações foram tratadas com a máxima seriedade pela empresa. Para recolher os factos e dissipar qualquer preocupação, a Kaspersky Lab conduziu uma investigação interna sobre o tema

 

No início de outubro, foi publicada uma história no The Wall Street Journal alegando que o software da Kaspersky Lab foi supostamente utilizado para descarregar dados classificados de um computador particular de um colaborador da NSA. Kaspersky Lab tem estado na vanguarda do combate à ciberespionagem e ao cibercrime há mais de 20 anos, estas alegações foram tratadas com a máxima seriedade pela empresa. Para recolher os factos e dissipar qualquer preocupação, a Kaspersky Lab conduziu uma investigação interna sobre o tema.

Os resultados preliminares da investigação foram publicados a 25 de outubro. Um novo relatório publicado hoje confirma os resultados iniciais e fornece informação adicional à análise da telemetria dos produtos da Kaspersky Lab relacionados com o incidente. Esta telemetria descreve a atividade suspeita registada no computador em questão durante o período do incidente, que ocorreu em 2014.

 Contexto

  • A 11 de setembro de 2014, um produto da Kaspersky Lab instalado num computador de um utilizador localizado nos EUA detetou uma infeção do que aparentava ser uma variante do malware utilizado pelo grupo Equation APT – um ator de ciberameaças sofisticado cuja atividade já havia estado sob investigação ativa desde março de 2014.
  • Algum tempo depois, o utilizador parece ter descarregado e instalado um software pirata no seu computador, nomeadamente um ficheiro ISO do Microsoft Office e uma ferramenta de ativação ilegal do Microsoft Office 2013 (também conhecido como “keygen”).
  • Para instalar a cópia pirata do Office 2013, o utilizador aparenta ter desativado o produto da Kaspersky Lab do seu computador, uma vez que a execução da ferramenta ilegal não teria sido possível com o antivírus ligado.
  • A ferramenta de ativação ilegal contida no ISO do Office foi infetada com malware. O utilizador foi infetado com este malware por um período indeterminado de tempo enquanto o produto da Kaspersky Lab estava inativo. O malware consistia numa backdoor que poderia ter permitido o acesso de terceiros ao computador.
  • Quando reativado, o produto da Kaspersky Lab detetou o malware como Backdoor.Win32.Mokes.hvl e bloqueou-o para que não contactasse com o servidor de controlo e comando. A primeira deteção do programa malicioso ocorreu a 4 de outubro de 2014.
  • Para além disso, o produto detetou também variantes novas e outras já conhecidas do malware Equation APT.
  • Um dos arquivos detetados pelo produto, como novas variantes do malware Equation APT, foi um arquivo 7zip. O mesmo arquivo foi enviado de volta para o Kaspersky Virus Lab para posterior análise, de acordo com a licença KSN e do utilizador final.
  • Após análises, foi descoberto que o arquivo continha vários ficheiros, incluindo ferramentas conhecidas e desconhecidas do grupo Equation, o código fonte e documentos classificados. O investigador reportou o incidente ao CEO. Após um pedido do CEO, o arquivo, o código fonte e qualquer dado aparentemente classificado foi eliminado dos sistemas da empresa num espaço de dias. Apenas o malware binário foi armazenado, para análise e classificação, tal como é feito com todo o malware que é detetado. O arquivo não foi partilhado com terceiros.
  • As duas razões pelas quais a Kaspersky Lab eliminou esses arquivos e eliminará ficheiros semelhantes no futuro são: em primeiro lugar, a empresa necessita apenas do malware para melhorar a sua proteção e, em segundo lugar, preocupa-se com a utilização do material potencialmente confidencial.
  • Devido a este incidente, uma nova política foi criada para todos os investigadores de malware: são agora obrigados a eliminar qualquer material potencialmente classificado que tenha sido recolhido acidentalmente durante qualquer investigação anti-malware.
  • A investigação não revelou nenhum incidente semelhante em 2015, 2016 ou 2017.
  • Até à data, nenhuma outra intrusão de terceiros, à parte do Duqu 2.0, foi detetada nas redes da Kaspersky Lab.

Para apoiar ainda mais a objetividade da investigação interna participaram no processo vários investigadores, incluindo alguns cuja origem não fosse russa, bem como outros que trabalhassem fora do mesmo país para evitar possíveis acusações de influência.

 

Dados adicionais

Uma das descobertas iniciais da investigação foi a de que o computador em questão estava infetado com o backdoor Mokes – um malware que permite que os hackers acedam remotamente ao computador. Como parte da investigação, especialistas da Kaspersky Lab analisaram a fundo este backdoor e outra telemetria enviada a partir do computador, neste caso não relacionada com o Equation.

·        Antecedentes do backdoor Mokes

É do conhecimento público que o backdoor Mokes (também conhecido como “Smoke Bot” ou “Smoke Loader”) estava à venda em fóruns ilegais russos pelo menos desde 2011. A investigação da Kaspersky Lab mostra que, durante o período de setembro a novembro de 2014, os servidores de controlo e comando deste malware foram aparentemente registados por uma entidade chinesa sob o nome de “Zhou Lou”. Para além disso, uma análise mais profunda da telemetria da Kaspersky Lab mostrou que o backdoor Mokes pode não ter sido o único malware a infetar o computador em questão na altura do incidente uma vez que outras ferramentas de ativação ilegais e keygens foram detetados no mesmo dispositivo.

·        Mais malware não relacionado com Equation

Durante um período de dois meses, o produto reportou alarmes em 121 itens de malware não -Equation: backdoors, exploits, Trojans e AdWare. Todos estes alertas, bem como a telemetria disponível para esse período revelou que o produto detetou as ameaças ainda que não seja possível determinar se foram executadas durante o período em que o produto esteve inativo.

A Kaspersky Lab continua a investigar outras amostras maliciosas e mais resultados serão publicados assim que a análise estiver terminada.

 

Conclusões:

As conclusões gerais da investigação:

  • O software da Kaspersky Lab teve o desempenho esperado e notificou os nossos investigadores de alertas em assinaturas criadas para detetar o malware do grupo Equation APT que já estava sob investigação há seis meses. Tudo isto de acordo com a descrição das funcionalidades, cenários e documentos legais declarados do produto com os quais o utilizador concordou anteriormente à instalação do software.

 

  • Eliminou-se o que se acreditava ser informação potencialmente classificada e que fazia parte de um arquivo que ativou uma assinatura específica do malware Equation APT.

 

  • Para além do malware, o arquivo continha também o que aparentava ser o código-fonte para o malware Equation APT e quatro documentos Word aparentemente classificados. A Kaspersky Lab não possui informações sobre o conteúdo destes documentos uma vez que os mesmos foram eliminados num espaço de dias.

 

  • A Kaspersky Lab não consegue determinar se os dados foram “tratados apropriadamente” (de acordo com as normas do governo norte-americano) uma vez que os nossos investigadores não estão capacitados para tratar informação norte-americana classificada, nem têm nenhuma obrigação legal de o fazer. A informação não foi partilhada com quaisquer entidades terceiras.

 

  • Ao contrário de várias publicações por parte dos media, não foi encontrada nenhuma prova de que os investigadores da Kaspersky Lab tenham tentado emitir assinaturas “silenciosas” com o objetivo de procurar documentos com palavras como “top secret” e “classificado” ou outras palavras semelhantes.

 

  • A infeção pelo backdoor Mokes e potenciais infeções de outro malware não relacionado com o Equation apontam para a possibilidade de um número desconhecido de terceiros tenha acedido aos dados deste utilizador em concreto como resultado do acesso remoto ao computador.

 

  • Como uma empresa completamente transparente, a Kaspersky Lab pode proporcionar detalhes adicionais da investigação a entidades governamentais, bem como a clientes preocupados com as recentes notícias.

 

Poderá encontrar o relatório completo aqui, bem como a análise técnica do backdoor Mokes aqui.

doc icon 171116-Kaspersky-Lab-publica-resultados-de-investigação-interna-ao-incidente-com-o-código-fonte-da-Equation-APT_PT_NA.docx