FAQs
– ¿De qué se trató esta investigación?
– En octubre del 2017, varios medios estadounidenses hablaron de un incidente que relacionaba a Kaspersky Security Network con datos clasificados de la NSA, supuestamente exfiltrados en 2015.
– ¿Encontraron información al respecto?
– No, no encontramos nada sobre ningún incidente en 2015. Sin embargo, hubo un incidente en 2014, parecido al que los medios reportaron recientemente.
– ¿Qué pasó exactamente?
– Nuestro producto detectó el conocido malware Equation en el Sistema de un usuario. Después, en el mismo Sistema también se detecto una Puerta trasera non-Equation originada desde una copia pirateada de Microsoft Office y un archivo 7-Zip que contenía muestras de un malware previamente desconocido. Después de haberlo detectado, nuestro producto envió el archivo a nuestros investigadores de virus para su análisis. Como resultado, el archivo contenía código fuente de malware que parecía estar relacionado al Equation Group, al igual que varios documentos de Word con marcas de clasificación.
¿Qué puerta trasera era?
Era la Puerta trasera de Mokes, también conocida como “Smoke Bot” o “Smoke Loader”. Lo interesante de este malware es que estaba disponible para comprar en foros clandestinos en 2011. Cabe destacar que los servidores de comando y control de este malware estaban registrados a una supuesta entidad china bajo el nombre Zhou Lou durante el periodo de septiembre a noviembre del 2014.
¿Fue el único malware que infectó el PC en cuestión?
Es difícil de saber: nuestro producto fue desactivado del sistema por un largo periodo de tiempo. Sin embargo, podemos decir que mientras nuestro producto estaba desactivado, se reportaron 121 alarmas en diferentes tipos de malware non-Equation: puertas traseras, exploits, Troyanos, y adware. Al parecer este PC se convirtió en un objetivo bastante popular.
– ¿El software buscó intencionalmente este tipo de archivos, utilizando palabras clave como “top secret” o “classified”?
– No, no lo hizo. El archivo malicioso fue detectado automáticamente por nuestras tecnologías de protección proactivas.
– ¿Compartieron este archivo o archivos a terceros?
– No, no lo hicimos. Además, eliminamos inmediatamente el archivo por orden del CEO.
¿Por qué eliminaron los archivos?
Porque no necesitamos el código fuente para mejorar nuestra protección, mucho menos documentos Word clasificados. Los archivos recopilados (binarios) son más que suficiente para eso, y son los únicos que permanecen en nuestro almacenamiento de archivos.
– ¿Encontraron alguna evidencia de que su red corporativa estuviera comprometida?
– Aparte de Duqu 2.0, del cual informamos públicamente después del incidente, no, no encontramos ninguna evidencia.
– ¿Están dispuestos a compartir sus datos con terceros?
– Sí, estamos preparados para proporcionar toda la información para auditorías independientes. Mientras tanto, puedes encontrar más detalles técnicos en nuestro informe en Securelist.
Resultados completos
En octubre del 2017, en Kaspersky Lab llevamos a cabo un examen exhaustivo de nuestros registros a causa de los supuestos incidentes de 2015 que aparecieron en las noticias. Estábamos al tanto de un solo incidente, el cual ocurrió en 2014 durante la investigación de una APT, cuando nuestros subsistemas de detección localizaron archivos que, al parecer, contenían el código fuente del malware Equation. Decidimos comprobar si había incidentes similares y, además, investigamos si se había dado alguna intrusión en nuestros sistemas, aparte de la de Duqu 2.0, que sucedió a la vez que el supuesto incidente de 2015.
Hemos llevado a cabo una investigación a fondo sobre el caso de 2014 y los resultados preliminares de la misma revelan lo siguiente:
- Durante la investigación de la APT Equation (amenaza persistente avanzada por sus siglas en inglés), hemos observado infecciones en más de 40 países.
- Algunas de estas infecciones han sido en EE. UU.
- Como procedimiento de rutina, Kaspersky Lab ha estado informando a los órganos gubernamentales pertinentes de EE. UU. sobre las infecciones APT activas en Estados Unidos.
- Una de las infecciones en EE. UU. consistía en lo que parecía ser una variante nueva y desconocida del malware empleado por el grupo Equation.
- El incidente en el que se detectó el nuevo Equation lo detectaron nuestros productos domésticos, con KSN activo y la opción habilitada de enviar automáticamente muestras de malware nuevo y desconocidos.
- La primera vez que se detectó el malware Equation fue el 11 de septiembre del 2014. Con la siguiente muestra:
- 44006165AABF2C39063A419BC73D790D
- dll
Verdict: HEUR:Trojan.Win32.GrayFish.gen
- Tras estas detecciones, al parecer los usuarios descargaron e instalaron software pirata en sus dispositivos, como se indicó en un generador de claves de activación (conocidos como “keygen”) para Microsoft Office (md5: a82c0575f214bdc7c8ef5a06116cd2a4, en VirusLink tienes la información al respecto) que estaba infectado con malware. Los productos de Kaspersky Lab detectaron el malware con la denominación Backdoor.Win32.Mokes.hvl.
- El malware fue detectado dentro de una carpeta llamada “Office-2013-PPVL-x64-en-US-Oct2013.iso”. Esto implica el montaje de una imagen ISO en el sistema como una unidad/carpeta virtual.
- Desde 2013, los productos de Kaspersky Lab detectan el Backdoor.Win32.Mokes.hvl (el falso keygen).
- La primera vez que se detectó este keygen malicioso (falso) en este equipo fue el 4 de octubre del 2014.
- Para instalar y ejecutar este keygen, el usuario debe tener desactivados los productos de Kaspersky. Nuestra telemetría no nos permite decir cuándo se había desactivado el antivirus, pero, como el malware del keygen se detectó más tarde, creemos que el antivirus se había desactivado o no estaba en funcionamiento cuando se ejecutó el keygen, pues si el antivirus hubiera estado activo, no se habría podido ejecutar.
- Mientras el producto estuvo desactivado, el usuario estuvo infectado con este malwaredurante un período de tiempo indeterminado. El malware keygen era una puerta trasera que podría haber permitido el acceso a terceros.
- Más tarde, el usuario reactivó el antivirus y el antivirus detectó (con el nombre “Backdoor.Win32.Mokes.hvl“) y bloqueó el malware.
- Durante dos meses, el producto instalado en el sistema en cuestión realizó alertas sobre 121 archivos que no eran el malware Equation: puertas traseras, exploits, troyanos y adware. La cantidad limitada de telemetría nos permite confirmar que nuestros productos detectaron las amenazas; no obstante, es imposible determinar si se ejecutaron durante el período en que el producto se desactivó. Kaspersky Lab continúa investigando las demás muestras maliciosas y los resultados se publicarán en cuanto se complete el análisis.
- Tras infectarse con el malware Backdoor.Win32.Mokes.hvl, el usuario analizó el ordenador varias veces y se detectaron variantes nuevas y desconocidas del malware de la APT Equation.
- La última detección desde esta máquina se produjo el 17 de noviembre de 2014.
- Uno de los archivos que detectó el producto como una nueva variante del malware de la APT Equation era un archivo 7zip.
- El archivo fue detectado como malicioso y se envió a Kaspersky Lab para su análisis. Una vez allí, lo procesó uno de los analistas y resultó que contenía diversas muestras de malware y código fuente, al parecer, del malware Equation y cuatro documentos Word con marcas de clasificación.
- Tras descubrir el sospechoso código fuente del malware Equation, el analista informó al CEO, el cual ordenó la eliminación del archivo de todos los sistemas. El archivo nunca se compartió con terceros.
- A causa de este incidente, se creó una nueva política para todos los analistas de malware: Ahora deben eliminar cualquier material que pueda ser clasificado que se haya recopilado de manera accidental durante la investigación antimalware.
- Hay dos razones por las que Kaspersky Lab borró dichos archivos y lo hará de nuevo en el futuro: primero porque solo necesitamos el malware en binario para mejorar la protección y, segundo, porque nos preocupamos por si recopilamos material potencialmente clasificado.
- En 2015 no se recibieron más detecciones de este usuario.
- Tras nuestro anuncio de Equation en febrero de 2015, otros usuarios con KSN activo aparecieron en el mismo rango de IP que la detección original. Al parecer, se configuró como honeypot (sistema trampa) y en cada ordenador se cargaron varias muestras relacionadas con Equation. No se detectaron muestras inusuales (no ejecutables) y los enviados de los sistemas trampa no se han procesado de ningún modo especial.
- La investigación no ha revelado ningún otro incidente relacionado en 2015, 2016 o 2017.
- No se detectó ninguna otra intrusión de terceros, aparte de Duqu 2.0, en las redes de Kaspersky Lab.
- La investigación ha confirmado que Kaspersky Lab nunca ha creado ninguna regla de detección en sus productos basados en las palabras clave “top secret” y “classified”.
Creemos que todo esto es un análisis exacto del incidente de 2014. La investigación aún está abierta y la empresa facilitará más información técnica cuando esté disponible. Estamos planeando compartir toda la información sobre el incidente, incluidos los detalles técnicos, con un tercero de confianza como parte de nuestra Iniciativa Global de Transparencia para obtener una validación cruzada.
El texto se actualizó el 27 de octubre de 2017 para incluir referencias temporales y luego el 16 de noviembre de 2017 para incluir nuevas conclusiones. Para acceder a los detalles técnicos, consulta el informe de Securelist.