Kaspersky Lab опубликовала полные результаты внутреннего расследования инцидента с исходным кодом ПО Equation17 ноября 2017Kaspersky Lab завершила внутреннее расследование инцидента, связанного с заявлениями ряда СМИ о том, что ПО компании якобы использовалось для поиска и скачивания засекреченной информации с домашнего компьютера сотрудника Агентства национальной безопасности США (АНБ). Отчет подтверждает предварительные выводы, которые Kaspersky Lab обнародовала 25 октября. Однако в нем есть и новые факты. Например, анализ телеметрии показал, что удаленный доступ к устройству, о котором идет речь, могло иметь неизвестное количество третьих лиц.
Одним из главных предварительных выводов было то, что компьютер пользователя был заражен бэкдором Mokes, который позволяет злоумышленникам получить доступ к устройству. Mokes (также известный как Smoke Bot и Smoke Loader) впервые появился в продаже на русскоязычных андеграундных форумах в 2011 году. Исследование Kaspersky Lab показало, что в период с сентября по ноябрь 2014 года управляющие серверы этого вредоноса были зарегистрированы на, предположительно, китайскую организацию под названием Zhou Lou. Дальнейший анализ телеметрии Kaspersky Lab показал, что Mokes мог быть не единственным зловредом, заразившим указанный компьютер в период инцидента. За два указанных месяца защитное решение Kaspersky Lab, установленное на компьютере, сообщило о 121 образце вредоносного ПО, не относящемся к Equation. Среди них были бэкдоры, эксплойты, троянцы и рекламные программы. Учитывая ограниченное количество доступной телеметрии (решение Kaspersky Lab периодически отключалось пользователем), нельзя однозначно сказать, запускались ли обнаруженные вредоносы в период, относящийся к инциденту. Эксперты Kaspersky Lab продолжают изучать этот вопрос. Итоговые результаты расследования таковы: Защитное решение Kaspersky Lab сработало ровно так, как и должно было сработать при обнаружении вредоносного кода. Оно уведомило аналитиков компании об угрозе на основании сигнатур ПО группировки Equation, деятельность которой на тот момент расследовалась уже шесть месяцев. Все эти действия соответствуют заявленной функциональности продукта, стандартным сценариям его работы и юридическим документам, согласие с которыми выражает пользователь перед установкой решения. Информация, которая предположительно была секретной, была получена экспертами, потому что содержалась в архиве, на который отреагировало решение на основании сигнатур Equation. Помимо вредоносных программ, указанный архив также содержал исходный код ПО группировки Equation и четыре текстовых документа с грифами секретности. Kaspersky Lab не обладает какой-либо информацией о содержании этих документов, так как они были удалены после получения. Kaspersky Lab не может оценить, были ли соблюдены формальные процедуры обращения с секретными данными, соответствующие американскому законодательству. Эксперты компании не проходили инструктаж по обращению с засекреченными документами и не имеют юридических обязательств его проходить. При этом никакая информация из документов не передавалась третьим лицам. В отличие от версии, озвученной в некоторых СМИ, не было найдено доказательств, что исследователи Kaspersky Lab когда-либо пытались целенаправленно искать документы с пометками «совершенно секретно», «засекречено» и другими аналогичными. Заражение компьютера бэкдором Mokes и потенциальное заражение другим вредоносным ПО указывает на возможность того, что доступ к данным пользователя мог получить неизвестный круг третьих лиц. Следуя принципам полной прозрачности, Kaspersky Lab готова предоставить дополнительные детали расследования заинтересованным лицам, таким как правительственные организации и клиенты, озабоченные сообщениями в СМИ. С полным текстом отчета можно ознакомиться по ссылке: securelist.com/?p=83210. Технический анализ бэкдора Mokes можно найти здесь: kasperskycontenthub.com/securelist/files/2017/11/Appendix_Mokes-SmokeBot_analysis.pdf. |