Kaspersky Lab publicē ar sarežģītā mērķuzbrukuma Equation pirmkoda incidentu saistītās iekšējās izmeklēšanas rezultātus

17. novembris 2017
Oktobra sākumā The Wall Street Journal publicēja rakstu, kurā tika apgalvots, ka Kaspersky Lab programmatūra ir izmantota, lai lejupielādētu slepenus datus no Nacionālās drošības aģentūras darbinieka mājas datora. Kaspersky Lab jau vairāk nekā 20 gadus atrodas kiberspiegošanas un kibernoziedzības apkarošanas priekšgalā, tāpēc šādus apgalvojumus uztvēra ļoti nopietni. Lai apkopotu faktus un novērstu visas šaubas, Kaspersky Lab veica iekšējo izmeklēšanu.

Šīs izmeklēšanas provizoriskie rezultāti tika publicēti 25. oktobrī. Tajos tika izklāstīti ar plašsaziņas līdzekļu aprakstīto varbūtējo notikumu saistīto pierādījumu meklēšanas, ko veica uzņēmums, vispārīgie konstatējumi. Šodien publicētais jaunais pārskats apstiprina sākotnējos secinājumus un sniedz papildu ieskatu Kaspersky Lab ar incidentu saistīto izstrādājumu telemetrijas datu analīzē. Šie telemetrijas dati apraksta attiecīgajā datorā reģistrētās aizdomīgās darbības
2014. gadā notikušā incidenta laikā.

Vispārīgā informācija

  • 2014. gada 11. septembrī Kaspersky Lab izstrādājums, kas bija instalēts lietotāja datorā ASV, ziņoja par inficēšanos ar ļaunprogrammatūru, kas šķita esam varianti, ko izmanto sarežģītā mērķuzbrukuma Equation grupa — tā ir sarežģītu kiberdraudu izpildītāja, kuras darbība tiek aktīvi izmeklēta kopš 2014. gada marta.
  • Pēc kāda laika lietotājs, šķiet, savā datorā ir lejupielādējis un instalējis pirātisku programmatūru, proti, Microsoft Office ISO datni un nelegālu Microsoft Office 2013 aktivizācijas rīku (tā dēvēto keigenu).
  • Lai instalētu Office 2013 pirātisko kopiju, lietotājs, domājams, savā datorā izslēdza Kaspersky Lab izstrādājumu, jo ar ieslēgtu antivīrusu nebūtu iespējama nelegāla aktivizācijas rīka izpilde.
  • Office ISO ietvertais nelegālais aktivizācijas rīks bija inficēts ar ļaunprogrammatūru. Lietotājs tika inficēts ar šo ļaunprogrammatūru nenoteiktā laikposmā, kamēr Kaspersky Lab izstrādājums bija neaktīvs. Ļaunprogrammatūra sastāvēja no pilnvērtīgām sāndurvīm, kas varēja ļaut trešām personām piekļūt lietotāja datoram.
  • Kad Kaspersky Lab izstrādājums tika atkal ieslēgts, tas konstatēja ļaunprogrammatūru ar verdiktu Backdoor.Win32.Mokes.hvl un bloķēja šo ļaunprogrammatūru, lai tā nesazinās ar zināmu komandvadības serveri. Ļaunprātīgā iestatīšanas programma pirmo reizi tika konstatēta 2014. gada 4. oktobrī.
  • Turklāt antivīrusu izstrādājums konstatēja arī sarežģītā mērķuzbrukuma Equation ļaunprogrammatūras jaunus un iepriekš zināmus variantus.
  • Kāda datne, ko izstrādājums atzina par sarežģītā mērķuzbrukuma Equation ļaunprogrammatūras jaunajiem variantiem, bija 7zip arhīvs, kas saskaņā ar galalietotāja un KSN licences līgumu tika nosūtīts uz Kaspersky Virus Lab tālākai analīzei.
  • Analīzē tika konstatēts, ka šajā arhīvā ir ietverts liels daudzums datņu, tostarp zināmi un nezināmi Equation grupas rīki, pirmkods, kā arī slepeni dokumenti. Analītiķis par incidentu ziņoja vadītājam. Pēc vadītāja pieprasījuma pats arhīvs, pirmkods un visi acīmredzami slepenie dati dažu dienu laikā tika dzēsti no uzņēmuma sistēmām, tomēr īstās ļaunprogrammatūras binārās datnes joprojām glabājas Kaspersky Lab krātuvē. Šis arhīvs netika nodots nevienai trešai personai.
  • Ir divi iemesli, kāpēc Kaspersky Lab izdzēsa šīs datnes un arī turpmāk dzēsīs līdzīgas datnes: pirmkārt, uzņēmumam ir vajadzīgas tikai ļaunprogrammatūru binārās datnes, lai uzlabotu aizsardzību, un, otrkārt, uzņēmumam ir problēmas ar potenciāli slepenu materiālu apstrādi.
  • Pēc šī incidenta ir izveidota jauna politika visiem ļaunprogrammatūru analītiķiem: tagad viņiem ir obligāti jāizdzēš visi potenciāli slepeni materiāli, kas nejauši ir iegūti pretvīrusu pētījumu laikā.
  • Izmeklēšanā netika atklāts neviens līdzīgs incidents 2015., 2016. vai 2017. gadā.
  • Līdz šim laikam nav konstatēta neviena trešu personu iejaukšanās Kaspersky Lab tīklos, izņemot Duqu 2.0.
Lai vēl vairāk veicinātu iekšējās izmeklēšanas objektivitāti, mēs to izpildījām, izmantojot vairākus analītiķus, tostarp nekrievu izcelsmes un ārpus Krievijas strādājošus, lai izvairītos pat no varbūtējām apsūdzībām ietekmēšanā.

Papildu konstatējumi

Viens no galvenajiem izmeklēšanas sākuma atklājumiem bija tas, ka attiecīgais dators bija inficēts ar sāndurvīm Mokes — tā ir ļaunprogrammatūra, kas ļauj ļaunprātīgiem lietotājiem attāli piekļūt datoram. Izmeklēšanas gaitā Kaspersky Lab pētnieki padziļināti izpētīja šīs sāndurvis un citus no šī datora nosūtītos ar Equation nesaistītu apdraudējumu telemetrijas datus.

•    Sāndurvju Mokes interesantais fons
Ir vispārzināms, ka sāndurvis Mokes (pazīstamas arī ar nosaukumu Smoke Bot vai Smoke Loader) parādījās Krievijas pagrīdes forumus, jo tika piedāvātas iegādei 2011. gadā. Kaspersky Lab pētījums liecina, ka no 2014. gada septembra līdz novembrim šīs ļaunprogrammatūras komandvadības serveri bija reģistrēti, iespējams, ķīniešu organizācijai ar nosaukumu Zhou Lou. Turklāt Kaspersky Lab telemetrijas datu padziļināta analīze parādīja, ka sāndurvis Mokes varēja nebūt vienīgā ļaunprogrammatūra, kas incidenta laikā bija inficējusi attiecīgo datoru, jo šajā datorā tika konstatēti citi nelegāli aktivizācijas rīki un keigeni.

•    Vēl vairāk ar Equation nesaistītu ļaunprogrammatūru
Divos mēnešos izstrādājums izziņoja trauksmi par 121 vienumu ar Equation nesaistītu ļaunprogrammatūru: sāndurvīm, mūķiem, Trojas zirgiem un reklāmprogrammatūrām. Visi šie trauksmes signāli kopā ar pieejamo telemetrijas datu ierobežoto apjomu nozīmē, ka mēs varam apstiprināt, ka mūsu izstrādājums pamanīja apdraudējumus, taču nav iespējams noteikt, vai tie tika izpildīti laikā, kad izstrādājums bija izslēgts.
Kaspersky Lab turpina pētīt citus ļaunprātīgos paraugus, un tālākie rezultāti tiks publicēti, tiklīdz analīze būs pabeigta.

Secinājumi

Izmeklēšanas vispārējie secinājumi ir šādi.

  • Kaspersky Lab programmatūra darbojās, kā paredzēts, un informēja analītiķus par trauksmi signatūrām, kuras bija paredzētas sarežģītā mērķuzbrukuma Equation grupas ļaunprogrammatūru noteikšanai, kas tika izmeklētas jau sešus mēnešus. Tas notika saskaņā ar šī izstrādājuma funkciju, scenāriju un juridisko dokumentu aprakstu, kam lietotājs bija piekritis pirms programmatūras instalēšanas.
  • Tas, kas tiek uzskatīts par potenciāli slepenu informāciju, tika pārsūtīts tāpēc, ka bija ietverts arhīvā, kas izmantoja sarežģītajam mērķuzbrukumam Equation atbilstīgu ļaunprogrammatūras signatūru.
  • Līdztekus ļaunprogrammatūrai arhīvā bija ietverts arī tas, kas acīmredzot bija sarežģītā mērķuzbrukuma Equation ļaunprogrammatūras pirmkods, un četri Word dokumenti ar slepenības marķējumu. Kaspersky Lab rīcībā nav informācijas par šo dokumentu saturu, jo tie dažu dienu laikā tika dzēsti.
  • Kaspersky Lab nevar novērtēt, vai ar šiem datiem «rīkojās pareizi» (saskaņā ar ASV valdības normām), jo mūsu analītiķi nav apmācīti rīkoties ar ASV slepeno informāciju, kā arī viņiem nav juridiska pienākuma to darīt. Šī informācija netika nodota nevienai trešai personai.
  • Neraugoties uz daudzās plašsaziņas līdzekļu publikācijās pausto, nav atrasti pierādījumi, ka Kaspersky Lab pētnieki jebkad būtu mēģinājuši izdot apslēptas signatūras, kuru mērķis ir meklēt dokumentus ar vārdiem «slepeni», «klasificēts» un citiem līdzīgiem vārdiem.
  • Inficēšanās ar sāndurvīm Mokes un varbūtējā inficēšanās ar citām ļaunprogrammatūrām, kas nav saistītas ar Equation, norāda uz iespējamību, ka lietotāja dati ir noplūduši nezināmam skaitam trešu personu, izmantojot attālu piekļuvi datoram.
Kaspersky Lab ir pilnīgi caurredzams uzņēmums, kas ir gatavs atbildīgā veidā sniegt papildu informāciju par izmeklēšanu ieinteresētajām valsts organizācijām un klientiem, kas ir nobažījušies par nesenajām publikācijām plašsaziņas līdzekļos.
Visu pārskatu lasiet šeit, kā arī sāndurvju Mokes tehnisko analīzi lasiet šeit.