{"id":14381,"date":"2017-11-16T12:40:52","date_gmt":"2017-11-16T10:40:52","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=14381"},"modified":"2022-05-05T12:26:53","modified_gmt":"2022-05-05T10:26:53","slug":"internal-investigation-preliminary-results","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/internal-investigation-preliminary-results\/14381\/","title":{"rendered":"Risultati preliminari dell&#8217;indagine interna sui presunti incidenti riportati dai media USA (aggiornato)"},"content":{"rendered":"<h3><strong>FAQ<\/strong><\/h3>\n<ul>\n<li><strong>Su cosa verte l\u2019indagine interna?<\/strong><\/li>\n<li>Lo scorso ottobre, alcuni media statunitensi hanno parlato di un incidente che coinvolge Kaspersky Security Network e alcuni dati classificati dell\u2019NSA, che sarebbero filtrati nel 2015. Abbiamo deciso di effettuare un controllo esaustivo per eliminare ogni dubbio.<\/li>\n<li><strong>Avete scoperto qualcosa di nuovo in merito all\u2019incidente?<\/strong><\/li>\n<li>No, non abbiamo trovato nulla sull\u2019incidente del 2015. Tuttavia, nel 2014 c\u2019\u00e8 stato un incidente con caratteristiche simili a quelle descritte dai media.<\/li>\n<li><strong>Cosa \u00e8 successo esattamente?<\/strong><\/li>\n<li>Il nostro prodotto ha individuato un malware Equation conosciuto sul sistema di un utente. Successivamente, sullo stesso sistema, \u00e8 stata individuata anche una backdoor non -Equation originata da una copia piratata di Microsoft Office e un file 7-Zip che conteneva esemplari di un malware ai tempi sconosciuto. Il prodotto ha successivamente inviato il file ai nostri ricercatori per un\u2019analisi pi\u00f9 approfondita. Si \u00e8 poi scoperto che il file conteneva il codice sorgente di un malware relazionato al gruppo Equation, cos\u00ec come vari documenti Word indicati come classificati.<\/li>\n<li><strong>In cosa consisteva la backdoor?<\/strong><\/li>\n<li>Si trattava della backdoor Mokes, conosciuta anche come \u201cSmoke Bot\u201d o \u201cSmoke Loader\u201d. Il malware \u00e8 disponibile per l\u2019aquisto su forum clandestini russi fin dal 2011. Va detto anche che i server command-and- control del malware sono stati registrati su un\u2019entit\u00e0 (probabilmente) cinese chiamata \u201cZhou Lou\u201d nel periodo settembre-novembre 2014.<\/li>\n<li><strong>Il PC in questione \u00e8 stato infettato solamente dal malware menzionato?<\/strong><\/li>\n<li>\u00c8 difficile dirlo: il nostro prodotto \u00e8 rimasto disattivato sul sistema per un periodo di tempo piuttosto lungo. Possiamo affermare, invece, che per il periodo di tempo in cui s\u00ec era attivo, il nostro prodotto ha segnalato 121 avvisi di malware non-Equation diversi, tra cui backdoor, exploit, Trojan e adware. Sembra quindi che il sistema in questione era un obiettivo di malware piuttosto popolare.<\/li>\n<li><strong>Il vostro software \u00e8 andato intenzionalmente alla ricerca di questo tipo di file, utilizzando parole chiave quali \u201ctop secret\u201d o \u201cclassified\u201d?<\/strong><\/li>\n<li>Assolutamente no. Il codice dannoso \u00e8 stato individuato automaticamente dalle nostre tecnologie proattive di protezione.<\/li>\n<li><strong>Avete condiviso il file o il codice contenuto con terze parti?<\/strong><\/li>\n<li>No; inoltre, su ordine del nostro CEO, abbiamo immediatamente eliminato il file.<\/li>\n<li><strong>Perch\u00e9 avete cancellato i file?<\/strong><\/li>\n<li>Perch\u00e9 non abbiamo bisogno del codice sorgente, per non parlare di documenti Word in teoria classificati, per migliorare i nostri metodi di protezione. I file compilati (binari) sono pi\u00f9 che sufficienti e sono gli <em>unici\u00a0<\/em>file che conserviamo.<\/li>\n<li><strong>Avete trovato alcuna prova che indichi un\u2019intrusione nella vostra rete aziendale?<\/strong><\/li>\n<li>A parte <a href=\"https:\/\/securelist.com\/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns\/70504\/\" target=\"_blank\" rel=\"noopener\">Duqu 2.0<\/a>, su cui tutti gli utenti sono stati informati immediatamente subito dopo l\u2019incidente, non ci sono stati altri casi.<\/li>\n<li><strong>Avete intenzione di condividere i dati raccolti in merito con terze parti indipendenti? <\/strong><\/li>\n<li>S\u00ec, mettiamo a disposizione tutti i dati per un audit indipendente. Per maggiori dettagli tecnici, c\u2019\u00e8 il nostro report su <a href=\"https:\/\/securelist.com\/investigation-report-for-the-september-2014-equation-malware-detection-incident-in-the-us\/83210\/\" target=\"_blank\" rel=\"noopener\">Securelist<\/a>.<\/li>\n<\/ul>\n<h3>I risultati<\/h3>\n<p>Questo mese, Kaspersky Lab ha avviato una revisione accurata dei propri propri log di telemetria, in relazione agli incidenti descritti dai media e che risalgono al 2015. Nel 2014, durante un\u2019indagine sulle APT, siamo venuti a conoscenza di un incidente quando i nostri sistemi di sottoindividuazione hanno rilevato quelli che sembravano essere i file del codice sorgente del malware Equation. Abbiamo cos\u00ec deciso di verificare se fossero avvenuti altri incidenti dello stesso tipo. Inoltre, ai tempi del presunto incidente del 2015, abbiamo deciso di verificare se ci fossero state intrusioni esterne nei nostri sistemi oltre a Duqu 2.0.<\/p>\n<p>Abbiamo effettuato un\u2019indagine esaustiva riguardo al caso dal 2014 e i risultati preliminari sono i seguenti:<\/p>\n<ul>\n<li>Durante l\u2019indagine sull\u2019APT Equation (Advanced Persisten Threat), abbiamo visto che l\u2019infezione interessava tutto il mondo, oltre 40 Paesi;<\/li>\n<li>Alcune infezioni sono state riscontrate negli Stati Uniti;<\/li>\n<li>Come procedura di routine, Kaspersky Lab ha informato le pi\u00f9 importanti istituzioni governative statunitensi sulle infezioni APT attive negli USA;<\/li>\n<li>Una delle infezioni negli USA era composta da quelle che sembravano essere nuove varianti sconosciute e di debug del malware utilizzato dal gruppo Equation;<\/li>\n<li>L\u2019incidente, nel quale sono stati individuati i nuovi esemplari di Equation, riguardava la nostra linea di prodotti per utenti privati, dove era abilitato KSN e l\u2019invio automatico di campioni di malware nuovi e sconosciuti;<\/li>\n<li>In base ai rilevamenti, l\u2019utente avrebbe scaricato e installato un software pirata sui propri dispositivi, come indicato da un Microsoft Office activation key generator (o \u201ckeygen\u201d) illegale (md5: a82c0575f214bdc7c8ef5a06116cd2a4 \u2013\u00a0<a href=\"https:\/\/www.virustotal.com\/#\/file\/6bcd591540dce8e0cef7b2dc6a378a10d79f94c3217bca5f05db3c24c2036340\/detection\" target=\"_blank\" rel=\"noopener nofollow\">per maggiori informazioni visitate questo link di VirusTotal<\/a>), infettato dal malware. Kaspersky Lab individuava il malware con il nome\u00a0<strong>Win32.Mokes.hv<\/strong>.<\/li>\n<li>Per installare e avviare il keygen, l\u2019utente avrebbe disabilitato i prodotti Kaspersky Lab sul proprio dispositivo. La nostra telemetria non ci permette di dire quando sia stato disabilitato l\u2019antivirus; tuttavia, il fatto che il keygen sia stato individuato successivamente indica che l\u2019antivirus era stato disattivato o non era in funzione. L\u2019esecuzione del keygen non sarebbe stata possibile con l\u2019antivirus attivo;<\/li>\n<li>L\u2019utente sarebbe stato infettato dal malware per un periodo di tempo non precisato, durante il quale il prodotto non era attivo. Il malware emerso dal keygen era una backdoor in tutto e per tutto, che potrebbe aver consentito l\u2019accesso al dispositivo dall\u2019esterno;<\/li>\n<li>Successivamente, l\u2019utente avrebbe riattivato l\u2019antivirus e il prodotto ha individuato correttamente (con il nome \u201c<strong>Win32.Mokes.hv<\/strong>\u201c) e bloccato il malware da quel momento in poi;<\/li>\n<li>Come parte dell\u2019indagine corrente, i ricercatori di Kaspersky Lab hanno esaminato maggiormente la backdoor e la telemetria relativa alla minaccia non-Equation inviata dal computer. \u00c8 di dominio pubblico che la backdoor Mokes (conosciuta anche come \u201cSmoke Bot\u201d o \u201cSmoke Loader\u201d \u00e8 disponibile per l\u2019acquisto su forum clandestini russi fin dal 2011. La ricerca condotta da Kaspersky ha evidenziato che, durante il periodo settembre-novembre 2014, i server command-and-control di questo malware erano registrati su un\u2019entit\u00e0 probabilmente cinese chiamata \u201cZhou Lou\u201d. Qui potete trovare l\u2019analisi tecnica della <a href=\"https:\/\/kasperskycontenthub.com\/securelist\/files\/2017\/11\/Appendix_Mokes-SmokeBot_analysis.pdf\" target=\"_blank\" rel=\"noopener nofollow\">backdoor Mokes<\/a>.<\/li>\n<li>In un periodo di due mesi, il prodotto installato sul sistema in questione ha registrato 121 notifiche di allerta riguardanti malware non-Equation tra cui backdoor, exploit, Trojan e adware. Il numero limitato di telemetrie a disposizione ci permette comunque di confermare che il nostro prodotto aveva individuato queste minacce; tuttavia, non \u00e8 possibile determinare se tali minacce siano state eseguite sul sistema durante il periodo in cui il prodotto \u00e8 stato disattivato. Kaspersky Lab continua a cercare altri esemplari di malware e pubblicheremo le nuove scoperte quando sar\u00e0 stata completata l\u2019analisi.<\/li>\n<li>Dopo essere stato infettato dal malware\u00a0<strong>Win32.Mokes.hvl<\/strong>, l\u2019utente ha poi avviato la scansione del computer pi\u00f9 volte che ha portato all\u2019individuazione di nuove e sconosciute varianti del malware APT Equation;<\/li>\n<li>L\u2019ultimo elemento individuato sul sistema risale al 17 novembre 2014;<\/li>\n<li>Uno dei file indicati come varianti del malware Equation era un file 7zip;<\/li>\n<li>Il file \u00e8 stato subito indicato come dannoso e sottoposto a Kaspersky Lab per un\u2019analisi. Durante la procedura, i nostri analisti si sono resi conto che conteneva numerosi esemplari di malware e il codice sorgente di quello che sembrava essere il malware Equation e quattro documenti Word indicati come classificati;<\/li>\n<li>Dopo aver scoperto il codice sorgente del sospetto malware Equation, gli analisti hanno riferito il caso al CEO, su richiesta del quale il file \u00e8 stato cancellato da tutti i nostri sistemi. Il file non \u00e8 stato condiviso con terze parti;<\/li>\n<li>A causa dell\u2019incidente, \u00e8 stata creata una nuova politica rivolta a tutti gli analisti malware. Devono infatti cancellare tutto il materiale potenzialmente classificato raccolto accidentalmente durante le ricerche antimalware;<\/li>\n<li>Kaspersky Lab ha cancellato questi file e canceller\u00e0 file simili in futuro; in primo luogo perch\u00e9 solo abbiamo bisogno dei malware binari per migliorare i nostri metodi di protezione e, in secondo luogo, ci preoccupa l\u2019idea di entrare in possesso di materiale potenzialmente classificato;<\/li>\n<li>Nel 2015 non sono stati ricevuti ulteriori avvisi di rilevamento dal dispositivo di questo utente<\/li>\n<li>In seguito al nostro annuncio riguardante Equation del febbraio 2015, altri utenti con attivo KSN sono apparsi nello stesso range IP del file individuato inizialmente.Tali computer sembravano essere una specie di \u201choneypot\u201d e contenevano diversi campioni di malware collegabili a Equation. In questi \u201choneypot\u201d non sono stati individuati campioni insoliti (non eseguibili);<\/li>\n<li>Secondo l\u2019indagine, non sono stati riscontrati altri incidenti collegabili durante i successivi anni 2015, 2016 e 2017;<\/li>\n<li>Non sono state individuate ulteriori intrusioni nelle reti di Kaspersky Lab, a parte Duqu 2.0;<\/li>\n<li>L\u2019indagine ha rivelato che Kaspersky Lab non ha mai creato alcuna regola di rilevamento di documenti non pericolosi basata su parole chiave come \u201ctop secret\u201d o \u201cclassified\u201d;<\/li>\n<\/ul>\n<p>Crediamo che questa possa essere un\u2019analisi accurata dell\u2019incidente avvenuto nel 2014. L\u2019indagine \u00e8 ancora in corso e Kaspersky Lab fornir\u00e0 ulteriori dettagli tecnici non appena disponibili. Abbiamo intenzione di condividere tutte le informazioni su questo incidente, compresi i dettagli tecnici, con la collaborazione di terze parti autorevoli all\u2019interno della nostra\u00a0<a href=\"https:\/\/www.kaspersky.it\/blog\/transparency-initiative\/14360\/\" target=\"_blank\" rel=\"noopener\">Global Transparency Initiative<\/a>.<\/p>\n<p><strong>Il post \u00e8 stato aggiornato il 27 ottobre scorso per aggiungere FAQ e date importanti, e il 16 novembre 2017 per aggiungere elementi nuovi scoperti.\u00a0Per maggiori dettagli tecnici, c\u2019\u00e8 il nostro report su <a href=\"https:\/\/securelist.com\/investigation-report-for-the-september-2014-equation-malware-detection-incident-in-the-us\/83210\/\" target=\"_blank\" rel=\"noopener\">Securelist<\/a>.<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Questo mese, Kaspersky Lab ha avviato una revisione accurata dei propri log di telemetria, in relazione agli incidenti descritti dai media e che risalgono al 2015.<\/p>\n","protected":false},"author":2706,"featured_media":14412,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641],"tags":[592,775,1511,2622,1431,2621,2623],"class_list":{"0":"post-14381","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-apt","9":"tag-backdoor","10":"tag-duqu","11":"tag-duqu-2-0","12":"tag-equation","13":"tag-individuare","14":"tag-keygen"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/internal-investigation-preliminary-results\/14381\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/internal-investigation-preliminary-results\/11668\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/internal-investigation-preliminary-results\/9727\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/internal-investigation-preliminary-results\/13084\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/internal-investigation-preliminary-results\/12003\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/internal-investigation-preliminary-results\/11632\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/internal-investigation-preliminary-results\/14660\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/internal-investigation-preliminary-results\/19108\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/internal-investigation-preliminary-results\/4332\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/internal-investigation-preliminary-results\/19894\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/internal-investigation-preliminary-results\/9792\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/internal-investigation-preliminary-results\/8412\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/internal-investigation-preliminary-results\/8742\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/internal-investigation-preliminary-results\/18783\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/internal-investigation-preliminary-results\/18967\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/internal-investigation-preliminary-results\/18956\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/14381","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=14381"}],"version-history":[{"count":15,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/14381\/revisions"}],"predecessor-version":[{"id":14686,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/14381\/revisions\/14686"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/14412"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=14381"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=14381"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=14381"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}