Kaspersky Lab publica los resultados de la investigación interna sobre incidente del código fuente del APT Equation
Los nuevos hallazgos apuntan al posible acceso por varios terceros a una computadora que contenía información clasificada
A comienzos de octubre, se publicó una historia en TheWall Street Journal en la que se alegaba que el software de Kaspersky Lab fue utilizado para descargar datos clasificados desde la computadora personal de un empleado de la NSA. Dado que Kaspersky Lab ha estado a la vanguardia en la lucha contra el ciberespionaje y el delito cibernético durante más de 20 años, la empresa trató estas alegaciones con mucha seriedad. Para recopilar hechos y abordar cualquier inquietud, Kaspersky Lab realizó una investigación interna.
Los resultados preliminares de la investigación se publicaron el 25 de octubre. Estos resultados describían los hallazgos generales de la búsqueda de evidencia realizada por la compañía en el presunto evento reportado por la prensa. El nuevo informe publicado hoy confirma los resultados iniciales y brinda información adicional sobre el análisis de la telemetría de productos de Kaspersky Lab relacionada con el incidente. Esta telemetría describe actividades sospechosas registradas en la computadora en cuestión durante el período del incidente, que tuvo lugar en 2014.
Resumen de antecedentes:
- El 11 de septiembre de 2014, un producto de Kaspersky Lab instalado en la computadora de un usuario de Estados Unidos reportó una infección de lo que parecían variantes del malware utilizado por el grupo Equation APT, un sofisticado actor de amenazas cibernéticas cuya actividad ya había estado bajo investigación activa desde marzo de 2014.
- En algún momento después de esto, el usuario parece haber descargado e instalado un software pirata en su máquina, específicamente un archivo ISO de Microsoft Office y una herramienta de activación ilegal de Microsoft Office 2013 (también conocida como "keygen").
- Para instalar la copia pirata de Office 2013, el usuario parece haber desactivado el producto de Kaspersky Lab en su computadora, ya que ejecutar la herramienta de activación ilegal no hubiera sido posible con el antivirus habilitado.
- La herramienta de activación ilegal contenida en Office ISO estaba infectada con malware. El usuario se infectó con este malware durante un período no especificado mientras el producto de Kaspersky Lab estaba inactivo. El malware consistía en una puerta trasera completa que podría haber permitido a terceros acceder la máquina del usuario.
- Cuando se volvió a habilitar, el producto de Kaspersky Lab detectó el malware con el veredicto Backdoor.Win32.Mokes.hvl y bloqueó este malware para que no contactara a un servidor de mando y control conocido. La primera detección del programa de instalación maliciosa fue el 4 de octubre de 2014.
- Además, el producto de antivirus también detectó variantes nuevas y previamente conocidas del malware Equation APT.
- Uno de los archivos detectados por el producto como nueva variante del malware Equation APT era un archivo 7zip, que fue enviado de vuelta, según los acuerdos de licencia del usuario final y de KSN, al Kaspersky Virus Lab para un análisis posterior.
- Tras el análisis, se descubrió que el archivo contenía una multitud de archivos, incluidas las herramientas conocidas y desconocidas del grupo Equation, el código fuente y documentos clasificados. El analista reportó el incidente al CEO. A raíz de una solicitud del CEO, el propio archivo, el código fuente y cualquier información aparentemente clasificada, fueron eliminadas en cuestión de días de los sistemas de la empresa. Sin embargo, los archivos que son binarios de malware legítimos permanecen actualmente en el almacenamiento de Kaspersky Lab. El archivo no fue compartido con terceros.
- Los motivos por el que Kaspersky Lab eliminó esos archivos y eliminará otros similares en el futuro son: primero, solo necesita binarios de malware para mejorar la protección y, en segundo lugar, tiene varias inquietudes con respecto al manejo de material potencialmente clasificado.
- Debido a este incidente, se creó una nueva política para todos los analistas de malware: ahora se requiere que eliminen cualquier material potencialmente clasificado que se haya recopilado accidentalmente durante la investigación anti-malware.
- La investigación no reveló ningún otro incidente similar en 2015, 2016 o 2017.
- Hasta la fecha, no se ha detectado ninguna otra intrusión de terceros aparte de Duqu 2.0 en las redes de Kaspersky Lab.
Para respaldar aún más la objetividad de la investigación interna, esta fue realizada utilizando múltiples analistas, incluidos los que no son de origen ruso y que trabajan fuera de Rusia para evitar incluso posibles acusaciones de influencia.
Descubrimientos adicionales
Uno de los principales descubrimientos iniciales de la investigación fue que la PC en cuestión estaba infectada con la puerta trasera Mokes, un malware que permite que usuarios malintencionados tengan acceso remoto a una computadora. Como parte de la investigación, los investigadores de Kaspersky Lab analizaron con más detalle esta puerta trasera, así como otra telemetría no relacionada con amenazas de Equation enviadas desde la computadora.
- Curiosos antecedentes de la puerta trasera Mokes
Se sabe públicamente que la puerta trasera Mokes (también conocida como "Smoke Bot" o "Smoke Loader") apareció en los foros clandestinos rusos, y podía comprarse desde 2011. La investigación de Kaspersky Lab muestra que, durante el período de septiembre a noviembre 2014, los servidores de mando y control de este malware se registraron, presumiblemente, en una entidad china llamada "Zhou Lou". Además, un análisis más profundo de la telemetría de Kaspersky Lab mostró que la puerta trasera Mokes puede no haber sido el único malware que infectara la PC en cuestión en el momento del incidente, ya que en la misma máquina fueron detectadas otras herramientas y keygens de activación ilegal.
- Más malware que no pertenece a Equation
Durante un período de dos meses, el producto reportó alarmas en 121 artículos de malware no pertenecientes a Equation: puertas traseras, exploits, troyanos y AdWare. Todas estas alertas, combinadas con la cantidad limitada de telemetría disponible, significan que si bien podemos confirmar que nuestro producto detectó las amenazas, es imposible determinar si se estaban ejecutando durante el período en que se inhabilitó el producto.
Kaspersky Lab continúa investigando otras muestras maliciosas y se publicarán más resultados tan pronto como finalice el análisis.
Conclusiones
Las conclusiones generales de la investigación son las siguientes:
- El software de Kaspersky Lab funcionó como se esperaba y notificó a nuestros analistas las alertas sobre las firmas escritas para detectar el malware del grupo Equation APT que ya se estaba investigando durante seis meses. Todo esto de acuerdo con la descripción de la funcionalidad declarada del producto, los escenarios y los documentos legales que el usuario aceptó antes de la instalación del software.
- Se retiró lo que se creía era información potencialmente clasificada porque estaba contenida dentro de un archivo que activaba una firma de malware APT específica de Equation.
- Además del malware, el archivo también contenía lo que parecía ser el código fuente del malware Equation APT y cuatro documentos Word con marcas de clasificación. Kaspersky Lab no posee información sobre el contenido de los documentos, ya que fueron eliminados en cuestión de días.
- Kaspersky Lab no puede evaluar si los datos fueron "manejados apropiadamente" (de acuerdo con las normas del gobierno de EE.UU.) ya que nuestros analistas no han sido capacitados en el manejo de información clasificada de EE.UU. ni tienen ninguna obligación legal de hacerlo. La información no fue compartida con terceros.
- Contrario a lo publicado en varios medios, no se ha encontrado evidencia de que los investigadores de Kaspersky Lab hayan intentado emitir firmas "silenciosas" para buscar documentos con palabras como “Top secret" y "clasificado", y otras palabras similares.
- La infección de la puerta trasera Mokes y las posibles infecciones de otro malware no relacionado con Equation apuntan a la posibilidad de que los datos de los usuarios se hayan filtrado a un número desconocido de terceros como resultado de un acceso remoto a la computadora.
Como una compañía completamente transparente, Kaspersky Lab está lista para proporcionar detalles adicionales de la investigación de manera responsable a las partes pertinentes de organizaciones gubernamentales y clientes preocupados por los recientes informes emitidos por los medios.
Lea el informe completo aquí, así como el análisis técnico de la puerta trasera Mokes, disponible aquí.
Kaspersky Lab publica los resultados de la investigación interna sobre incidente del código fuente del APT Equation
Kaspersky
Artículo relacionado Comunicados de prensa
Kaspersky VPN gana el “Oscar” de AV-TEST por su velocidad y rendimiento
Los resultados de las pruebas revelan una asombrosa mejora del 355% en las velocidades de carga para conexiones en el extranjero, lo que demuestra la eficiencia de la plataforma.LEER MÁS >Llega Kaspersky Next, la nueva línea de productos emblemáticos para empresas
La nueva oferta proporciona tres niveles de protección, diseñados para ajustarse a las necesidades de cada organización, así como a la complejidad de su infraestructura de TI y los recursos disponiblesLEER MÁS >La mitad de las empresas latinoamericanas carece de personal calificado en ciberseguridad, revela Kaspersky
Estudio de la compañía de seguridad informática señala que el ritmo de crecimiento del mercado TI está cambiando tan rápidamente, que es un desafío formar a especialistas con las habilidades y conocimientos necesarios para satisfacer la demandaLEER MÁS >