Kaspersky Lab publiceert nieuwe resultaten van aanvullend intern onderzoek

Begin oktober is er in de Wall Street Journal een verhaal gepubliceerd waarin wordt beweerd dat er software van Kaspersky Lab is gebruikt om geheime data van de thuiscomputer van een NSA-medewerker te downloaden. Aangezien Kaspersky Lab al meer dan 20 jaar vooroploopt in de strijd tegen cyberspionage en cybercriminaliteit, zijn deze beschuldigingen door het bedrijf zeer serieus genomen. Kaspersky Lab heeft, om feiten te verzamelen en zorgen weg te nemen, een intern onderzoek uitgevoerd.

De voorlopige resultaten van het onderzoek zijn op 25 oktober gepubliceerd. De publicatie bevat de algemene bevindingen omtrent de zoektocht van het bedrijf naar enig bewijs van de vermeende gebeurtenis zoals gemeld door de media. Een nieuw, vandaag gepubliceerd rapport bevestigt de eerdere bevindingen en geeft meer inzicht in de analyse van de aan het incident gerelateerde telemetrie van Kaspersky Lab-producten. Deze telemetrie beschrijft verdachte activiteiten die zijn geregistreerd op de computer in kwestie gedurende de tijdspanne van het incident in 2014.

Achtergrond

• Op 11 september 2014 meldt een product van Kaspersky Lab een infectie op de computer van een in de VS gevestigde gebruiker. Deze infectie ijkt op varianten van malware van de Equation APT group, een geavanceerde cyberaanvaller wiens activiteiten sinds maart 2014 actief wordt onderzocht door Kaspersky Lab.
• Enige tijd daarna lijkt de gebruiker illegale software op zijn computer te hebben gedownload en geïnstalleerd, in het bijzonder een Microsoft Office ISO-bestand en een illegale activeringstool van Microsoft Office 2013 (een zogenaamde "keygen").
• Om een illegale kopie van Office 2013 te installeren, lijkt de gebruiker het product van Kaspersky Lab op zijn computer te hebben uitgeschakeld, omdat het uitvoeren van de illegale activeringstool niet mogelijk zou zijn geweest met de antivirusfunctie ingeschakeld.
• De illegale activeringstool in de Office ISO was geïnfecteerd met malware. De computer van betreffende gebruiker is gedurende onbepaalde tijd geïnfecteerd met deze malware, terwijl het product van Kaspersky Lab inactief is. De malware bestaat uit een volwaardige backdoor die derden toegang zou kunnen geven tot de machine van de gebruiker.
• Het product van Kaspersky Lab wordt weer ingeschakeld, detecteert de malware – Backdoor.Win32.Mokes.hvl genaamd – en blokkeert de poging van de malware om verbinding te krijgen met een bekende command & control server. Het schadelijke setupprogramma is voor het eerst gedetecteerd op 4 oktober 2014.
• Daarnaast detecteert het antivirusproduct nieuwe en reeds bekende varianten van Equation APT-malware.
• Een van de door het product als nieuwe variant van Equation APT-malware geïdentificeerde bestanden is een 7zip-archief dat voor verdere analyse wordt teruggestuurd naar Kaspersky Virus Lab.
• Na analyse blijkt dat het archief een groot aantal bestanden bevat, waaronder bekende en onbekende tools van Equation group, de broncode en geheime documenten. De analist rapporteert het incident aan de CEO. Op verzoek van de CEO worden het archief, de broncode en alle ogenschijnlijk geheime data binnen enkele dagen van de systemen van het bedrijf verwijderd. Bestanden die worden aangemerkt als legitieme malware binaries, blijven echter opgeslagen bij Kaspersky Lab. Het archief wordt niet gedeeld met derden.
• De reden dat Kaspersky Lab de bestanden heeft verwijderd en dit in de toekomst in soortgelijke gevallen ook zal doen, is tweeledig: ten eerste heeft het bedrijf alleen malware binaries nodig om de beveiliging te verbeteren en ten tweede heeft het bedrijf zorgen over de verwerking van potentieel geheim materiaal.
• Vanwege dit incident is er een nieuw beleid ontwikkeld voor alle malware-analisten: ze zijn nu verplicht tot het verwijderen van mogelijk geheim materiaal dat per ongeluk is verzameld tijdens anti-malware-onderzoek.
• Het onderzoek heeft geen andere, soortgelijke incidenten uit 2015, 2016 of 2017 aan het licht gebracht.
• Tot op heden is er, met uitzondering van Duqu 2.0, geen andere inbraak door derden in de netwerken van Kaspersky Lab gedetecteerd.

Om de objectiviteit verder te ondersteunen, heeft Kaspersky Lab het interne onderzoek uitgevoerd met behulp van meerdere analisten, onder wie analisten van niet-Russische origine en werkzaam buiten Rusland, teneinde beschuldigingen van beïnvloeding te voorkomen.

Aanvullende bevindingen

Een van de belangrijkste vroege ontdekkingen van het onderzoek is het feit dat de pc in kwestie geïnfecteerd is geweest met de Mokes backdoor, malware die kwaadwillende gebruikers op afstand toegang tot een computer biedt. Als onderdeel van het onderzoek hebben de onderzoekers van Kaspersky Lab deze backdoor nader bestudeerd, alsmede niet aan Equation gerelateerde telemetrie die vanaf de computer is verzonden.

• Opmerkelijke achtergrond Mokes backdoor 

Het is algemeen bekend dat de Mokes backdoor (ook bekend als "Smoke Bot" of "Smoke Loader") in 2011 is opgedoken op Russische ondergrondse fora, waar het te koop werd aangeboden. Uit onderzoek van Kaspersky Lab blijkt dat de command & control-servers van deze malware in de periode van september tot november 2014 geregistreerd stond bij een vermoedelijk Chinese entiteit met de naam "Zhou Lou". Bovendien toont nadere analyse van de telemetrie van Kaspersky Lab aan dat de Mokes backdoor mogelijk niet de enige malware betreft die de pc in kwestie heeft geïnfecteerd ten tijde van het incident, aangezien er ook andere illegale activeringstools en keygens op dezelfde machine zijn aangetroffen.

• Meer niet van Equation afkomstige malware

Gedurende een periode van twee maanden heeft het product alarm geslagen met betrekking tot 121 gevallen van niet aan Equation gerelateerde malware: backdoors, exploits, Trojans en AdWare. Al deze meldingen, in combinatie met de beperkte hoeveelheid beschikbare telemetrie, tonen aan dat het, hoewel we kunnen bevestigen dat ons product de dreigingen heeft gedetecteerd, onmogelijk is om vast te stellen of ze zijn uitgevoerd in de periode dat het product was uitgeschakeld.

Kaspersky Lab gaat door met het onderzoeken van de andere monsters en de resultaten zullen worden gepubliceerd zodra de analyse is voltooid.

Conclusies

De algemene conclusies van het onderzoek luiden als volgt:

• Kaspersky Labs software heeft naar behoren gefunctioneerd en heeft onze analisten op de hoogte gebracht van alarmsignalen die zijn geschreven om malware van de Equation APT-groep te detecteren, die al zes maanden werd onderzocht.
• Veronderstelde geheime informatie is weggetrokken omdat het zich in een archief bevond dat een Equation-specifieke APT-malware signature bevatte.
• Naast malware bevatte het archief verder wat de broncode leek te zijn van Equation APT-malware en vier Word-documenten met classificatiemarkeringen. Kaspersky Lab beschikt niet over informatie over de inhoud van de documenten, aangezien deze binnen enkele dagen zijn verwijderd.
• Kaspersky Lab kan niet beoordelen of de data "op gepaste wijze" zijn behandeld (volgens de normen van de Amerikaanse overheid), aangezien onze analisten niet zijn getraind in het omgaan met geheime Amerikaanse gegevens, noch wettelijk verplicht zijn om dit te doen. De informatie is niet gedeeld met derden.
• In tegenstelling tot verschillende mediapublicaties is er geen bewijs gevonden dat onderzoekers van Kaspersky Lab ooit hebben geprobeerd om "stille signatures" uit te geven, gericht op het zoeken naar documenten met woorden als "top secret", "classified" en dergelijke.
• De Mokes backdoor-infectie en mogelijke infecties van andere, niet aan Equation gerelateerde malware wijzen op de mogelijkheid dat gebruikersgegevens naar een onbekend aantal partijen zijn gelekt als gevolg van toegang tot de computer op afstand.