Risultati preliminari dell’indagine interna sui presunti incidenti riportati dai media USA (aggiornato)

FAQ

• Su cosa verte l’indagine interna?
• Lo scorso ottobre, alcuni media statunitensi hanno parlato di un incidente che coinvolge Kaspersky Security Network e alcuni dati classificati dell’NSA, che sarebbero filtrati nel 2015. Abbiamo deciso di effettuare un controllo esaustivo per eliminare ogni dubbio.
• Avete scoperto qualcosa di nuovo in merito all’incidente?
• No, non abbiamo trovato nulla sull’incidente del 2015. Tuttavia, nel 2014 c’è stato un incidente con caratteristiche simili a quelle descritte dai media.
• Cosa è successo esattamente?
• Il nostro prodotto ha individuato un malware Equation conosciuto sul sistema di un utente. Successivamente, sullo stesso sistema, è stata individuata anche una backdoor non -Equation originata da una copia piratata di Microsoft Office e un file 7-Zip che conteneva esemplari di un malware ai tempi sconosciuto. Il prodotto ha successivamente inviato il file ai nostri ricercatori per un’analisi più approfondita. Si è poi scoperto che il file conteneva il codice sorgente di un malware relazionato al gruppo Equation, così come vari documenti Word indicati come classificati.
• In cosa consisteva la backdoor?
• Si trattava della backdoor Mokes, conosciuta anche come “Smoke Bot” o “Smoke Loader”. Il malware è disponibile per l’aquisto su forum clandestini russi fin dal 2011. Va detto anche che i server command-and- control del malware sono stati registrati su un’entità (probabilmente) cinese chiamata “Zhou Lou” nel periodo settembre-novembre 2014.
• Il PC in questione è stato infettato solamente dal malware menzionato?
• È difficile dirlo: il nostro prodotto è rimasto disattivato sul sistema per un periodo di tempo piuttosto lungo. Possiamo affermare, invece, che per il periodo di tempo in cui sì era attivo, il nostro prodotto ha segnalato 121 avvisi di malware non-Equation diversi, tra cui backdoor, exploit, Trojan e adware. Sembra quindi che il sistema in questione era un obiettivo di malware piuttosto popolare.
• Il vostro software è andato intenzionalmente alla ricerca di questo tipo di file, utilizzando parole chiave quali “top secret” o “classified”?
• Assolutamente no. Il codice dannoso è stato individuato automaticamente dalle nostre tecnologie proattive di protezione.
• Avete condiviso il file o il codice contenuto con terze parti?
• No; inoltre, su ordine del nostro CEO, abbiamo immediatamente eliminato il file.
• Perché avete cancellato i file?
• Perché non abbiamo bisogno del codice sorgente, per non parlare di documenti Word in teoria classificati, per migliorare i nostri metodi di protezione. I file compilati (binari) sono più che sufficienti e sono gli unici file che conserviamo.
• Avete trovato alcuna prova che indichi un’intrusione nella vostra rete aziendale?
• A parte Duqu 2.0, su cui tutti gli utenti sono stati informati immediatamente subito dopo l’incidente, non ci sono stati altri casi.
• Avete intenzione di condividere i dati raccolti in merito con terze parti indipendenti?
• Sì, mettiamo a disposizione tutti i dati per un audit indipendente. Per maggiori dettagli tecnici, c’è il nostro report su Securelist.

I risultati

Questo mese, Kaspersky Lab ha avviato una revisione accurata dei propri propri log di telemetria, in relazione agli incidenti descritti dai media e che risalgono al 2015. Nel 2014, durante un’indagine sulle APT, siamo venuti a conoscenza di un incidente quando i nostri sistemi di sottoindividuazione hanno rilevato quelli che sembravano essere i file del codice sorgente del malware Equation. Abbiamo così deciso di verificare se fossero avvenuti altri incidenti dello stesso tipo. Inoltre, ai tempi del presunto incidente del 2015, abbiamo deciso di verificare se ci fossero state intrusioni esterne nei nostri sistemi oltre a Duqu 2.0.

Abbiamo effettuato un’indagine esaustiva riguardo al caso dal 2014 e i risultati preliminari sono i seguenti:

• Durante l’indagine sull’APT Equation (Advanced Persisten Threat), abbiamo visto che l’infezione interessava tutto il mondo, oltre 40 Paesi;
• Alcune infezioni sono state riscontrate negli Stati Uniti;
• Come procedura di routine, Kaspersky Lab ha informato le più importanti istituzioni governative statunitensi sulle infezioni APT attive negli USA;
• Una delle infezioni negli USA era composta da quelle che sembravano essere nuove varianti sconosciute e di debug del malware utilizzato dal gruppo Equation;
• L’incidente, nel quale sono stati individuati i nuovi esemplari di Equation, riguardava la nostra linea di prodotti per utenti privati, dove era abilitato KSN e l’invio automatico di campioni di malware nuovi e sconosciuti;
• In base ai rilevamenti, l’utente avrebbe scaricato e installato un software pirata sui propri dispositivi, come indicato da un Microsoft Office activation key generator (o “keygen”) illegale (md5: a82c0575f214bdc7c8ef5a06116cd2a4 – per maggiori informazioni visitate questo link di VirusTotal), infettato dal malware. Kaspersky Lab individuava il malware con il nome Win32.Mokes.hv.
• Per installare e avviare il keygen, l’utente avrebbe disabilitato i prodotti Kaspersky Lab sul proprio dispositivo. La nostra telemetria non ci permette di dire quando sia stato disabilitato l’antivirus; tuttavia, il fatto che il keygen sia stato individuato successivamente indica che l’antivirus era stato disattivato o non era in funzione. L’esecuzione del keygen non sarebbe stata possibile con l’antivirus attivo;
• L’utente sarebbe stato infettato dal malware per un periodo di tempo non precisato, durante il quale il prodotto non era attivo. Il malware emerso dal keygen era una backdoor in tutto e per tutto, che potrebbe aver consentito l’accesso al dispositivo dall’esterno;
• Successivamente, l’utente avrebbe riattivato l’antivirus e il prodotto ha individuato correttamente (con il nome “Win32.Mokes.hv“) e bloccato il malware da quel momento in poi;
• Come parte dell’indagine corrente, i ricercatori di Kaspersky Lab hanno esaminato maggiormente la backdoor e la telemetria relativa alla minaccia non-Equation inviata dal computer. È di dominio pubblico che la backdoor Mokes (conosciuta anche come “Smoke Bot” o “Smoke Loader” è disponibile per l’acquisto su forum clandestini russi fin dal 2011. La ricerca condotta da Kaspersky ha evidenziato che, durante il periodo settembre-novembre 2014, i server command-and-control di questo malware erano registrati su un’entità probabilmente cinese chiamata “Zhou Lou”. Qui potete trovare l’analisi tecnica della backdoor Mokes.
• In un periodo di due mesi, il prodotto installato sul sistema in questione ha registrato 121 notifiche di allerta riguardanti malware non-Equation tra cui backdoor, exploit, Trojan e adware. Il numero limitato di telemetrie a disposizione ci permette comunque di confermare che il nostro prodotto aveva individuato queste minacce; tuttavia, non è possibile determinare se tali minacce siano state eseguite sul sistema durante il periodo in cui il prodotto è stato disattivato. Kaspersky Lab continua a cercare altri esemplari di malware e pubblicheremo le nuove scoperte quando sarà stata completata l’analisi.
• Dopo essere stato infettato dal malware Win32.Mokes.hvl, l’utente ha poi avviato la scansione del computer più volte che ha portato all’individuazione di nuove e sconosciute varianti del malware APT Equation;
• L’ultimo elemento individuato sul sistema risale al 17 novembre 2014;
• Uno dei file indicati come varianti del malware Equation era un file 7zip;
• Il file è stato subito indicato come dannoso e sottoposto a Kaspersky Lab per un’analisi. Durante la procedura, i nostri analisti si sono resi conto che conteneva numerosi esemplari di malware e il codice sorgente di quello che sembrava essere il malware Equation e quattro documenti Word indicati come classificati;
• Dopo aver scoperto il codice sorgente del sospetto malware Equation, gli analisti hanno riferito il caso al CEO, su richiesta del quale il file è stato cancellato da tutti i nostri sistemi. Il file non è stato condiviso con terze parti;
• A causa dell’incidente, è stata creata una nuova politica rivolta a tutti gli analisti malware. Devono infatti cancellare tutto il materiale potenzialmente classificato raccolto accidentalmente durante le ricerche antimalware;
• Kaspersky Lab ha cancellato questi file e cancellerà file simili in futuro; in primo luogo perché solo abbiamo bisogno dei malware binari per migliorare i nostri metodi di protezione e, in secondo luogo, ci preoccupa l’idea di entrare in possesso di materiale potenzialmente classificato;
• Nel 2015 non sono stati ricevuti ulteriori avvisi di rilevamento dal dispositivo di questo utente
• In seguito al nostro annuncio riguardante Equation del febbraio 2015, altri utenti con attivo KSN sono apparsi nello stesso range IP del file individuato inizialmente.Tali computer sembravano essere una specie di “honeypot” e contenevano diversi campioni di malware collegabili a Equation. In questi “honeypot” non sono stati individuati campioni insoliti (non eseguibili);
• Secondo l’indagine, non sono stati riscontrati altri incidenti collegabili durante i successivi anni 2015, 2016 e 2017;
• Non sono state individuate ulteriori intrusioni nelle reti di Kaspersky Lab, a parte Duqu 2.0;
• L’indagine ha rivelato che Kaspersky Lab non ha mai creato alcuna regola di rilevamento di documenti non pericolosi basata su parole chiave come “top secret” o “classified”;

Crediamo che questa possa essere un’analisi accurata dell’incidente avvenuto nel 2014. L’indagine è ancora in corso e Kaspersky Lab fornirà ulteriori dettagli tecnici non appena disponibili. Abbiamo intenzione di condividere tutte le informazioni su questo incidente, compresi i dettagli tecnici, con la collaborazione di terze parti autorevoli all’interno della nostra Global Transparency Initiative.

Il post è stato aggiornato il 27 ottobre scorso per aggiungere FAQ e date importanti, e il 16 novembre 2017 per aggiungere elementi nuovi scoperti. Per maggiori dettagli tecnici, c’è il nostro report su Securelist.