Предварительные результаты внутреннего расследования инцидентов, якобы произошедших по данным американских СМИ

В октябре 2017 года мы начали тщательную проверку логов телеметрии , чтобы расследовать заявления СМИ об инцидентах, предположительно произошедших в 2015 году. Ниже представлены предварительные результаты этой проверки.

Краткая версия в вопросах и ответах

— Почему вы начали это расследование?

— Недавно несколько американских СМИ рассказали о произошедшем в 2015 году инциденте, в котором были замешаны наша система телеметрии Kaspersky Security Network и секретные данные NSA.

— Удалось ли вам найти свидетельства подобных инцидентов?

— Нет, мы не нашли никакой информации о подобном инциденте в 2015 году. Однако в 2014 году действительно произошло нечто, напоминающее описанный в СМИ инцидент.

— Что именно случилось?

— Наш продукт обнаружил на компьютере пользователя бэкдор (известный с 2013 года), который был встроен в кейген для Microsoft Office, а также 7zip-архив, содержащий ранее неизвестное вредоносное ПО. Архив был отправлен нашим продуктом на анализ в наш исследовательский центр. Как выяснилось при проверке, архив содержал исходные коды зловредов, предположительно разработанных группой Equation.

— Искало ли ваше программное обеспечение этот архив специально? Например, по ключевым словам «секретные документы» или «совершенно секретно»?

— Нет. Вредоносный архив был обнаружен с помощью наших проактивных защитных технологий.

— Передавали ли вы третьим лицам этот архив или содержащиеся в нем файлы?

— Нет. Более того, архив был немедленно удален по распоряжению генерального директора.

— Нашли ли вы свидетельство проникновения в вашу сеть?

— Кроме инцидента с Duqu 2.0, о котором мы сообщили сразу, как только его заметили — нет, других проникновений мы не обнаружили.

— Готовы ли вы поделиться данными для анализа с независимыми экспертами?

— Да, мы готовы предоставить все данные для независимого аудита.

Полная версия

В октябре 2017 года «Лаборатория Касперского» начала тщательный анализ логов телеметрии, чтобы проверить заявления СМИ об инцидентах, предположительно произошедших в 2015 году. Нам известно лишь об одном инциденте, произошедшем в 2014 году – в ходе расследования APT-угрозы. Тогда наша подсистема обнаружения поймала файлы, содержащие исходный код вредоносного ПО, по-видимому, авторства группы Equation. Мы решили расследовать, не было ли других подобных инцидентов. Кроме того, нам хотелось понять, не было ли в 2015 году проникновений в нашу корпоративную сеть, помимо уже известного нам инцидента с Duqu 2.0.

Мы тщательно расследовали случай 2014 года и выяснили следующее:

• В ходе расследования деятельности APT-группы Equation (APT – продвинутые таргетированные атаки) мы зафиксировали заражение систем более чем в 40 странах.
• Часть зараженных систем находилась в США.
• Следуя стандартным процедурам, специалисты «Лаборатории Касперского» информировали соответствующие учреждения США об активных APT-заражениях в их регионе.
• Один случай заражения в США включал новую, ранее неизвестную разновидность вредоносной программы, входящей в арсенал группы Equation.
• Инцидент, во время которого были обнаружены новые образцы вредоносного ПО авторства Equation, произошел в системе с установленным решением из нашей линейки для домашних пользователей. При этом в системе был включен компонент KSN и активирована функция автоматической отправки образцов новых и неизвестных вредоносных программ.
• Первое обнаружение зловреда Equation в рамках данного инцидента произошло 11 сентября 2014 года. Мы получили образец со следующими параметрами:
  • 44006165AABF2C39063A419BC73D790D
  • mpdkg32.dll
    Вердикт: HEUR:Trojan.Win32.GrayFish.gen
• После обнаружения пользователь, по всей видимости, загрузил и установил пиратское программное обеспечение. Об этом говорит наличие нелегального генератора ключей активации для Microsoft Office, так называемого кейгена (MD5-хэш: a82c0575f214bdc7c8ef5a06116cd2a4 – показатель выявления доступен по этой ссылке на веб-сайте VirusTotal), который оказался заражен зловредом. Продукты «Лаборатории Касперского» определили это вредоносное ПО как Backdoor.Win32.Mokes.hvl.
• Найденный зловред находился в папке «Office-2013-PPVL-x64-en-US-Oct2013.iso». Судя по всему, пользователь смонтировал в системе образ ISO в качестве виртуального диска или папки.
• Информация о зловреде Backdoor.Win32.Mokes.hvl (поддельный кейген) есть в антивирусных базах «Лаборатории Касперского» еще с 2013 года.
• Первое обнаружение вредоносного (поддельного) кейгена на этой системе произошло 4 октября 2014 года.
• Чтобы установить и запустить этот кейген, пользователь, похоже, отключил защитное решение «Лаборатории Касперского» на компьютере. Данные телеметрии не позволяют определить, когда именно антивирус был отключен. Однако, если учесть, что антивирус позднее обнаружил запущенный на компьютере вредоносный кейген, это подтверждает, что он был отключен в момент запуска кейгена. С включенным антивирусом пользователь не смог бы запустить кейген.
• Пока антивирус был отключен, компьютер оставался инфицирован зловредом — точная продолжительность этого периода времени нам неизвестна. Вредоносная программа в кейгене представляла собой полноценный бэкдор, открывающий посторонним лицам доступ к компьютеру пользователя.
• Позднее пользователь включил антивирус, который правильно определил зловред и предотвратил его дальнейшие действия (вердикт: Backdoor.Win32.Mokes.hvl).
• Узнав о заражении зловредом Backdoor.Win32.Mokes.hvl, пользователь несколько раз проверил компьютер на вирусы. Сканирование выявило новые, неизвестные разновидности APT-зловредов Equation.
• В последний раз вредоносная активность была зафиксирована на этом компьютере 17 ноября 2014 года.
• Один из файлов, которые антивирус определил как новую разновидность APT-зловреда Equation, представлял собой архив 7zip.
• Архив был определен антивирусом как вредоносный и отправлен в «Лабораторию Касперского» на анализ, где был исследован одним из наших аналитиков. В ходе анализа в архиве были найдены несколько образцов зловредов и исходный код вредоносного ПО, предположительно, авторства Equation.
• Обнаружив исходный код вредоносного ПО, вероятно, принадлежащего Equation, аналитик доложил об этом генеральному директору. По указанию генерального директора архив был удален из всех наших систем. Данный архив не передавали каким-либо третьим лицам.
• В 2015 году мы не получали сообщений об обнаружении зловредов на системе этого пользователя.
• После того, как мы предоставили наше исследование деятельности группы Equation в феврале 2015 года, в том же диапазоне IP-адресов, что и оригинальная зараженная система, появились несколько других пользователей с включенным компонентом KSN. Предположительно, эти компьютеры использовались как «ловушки» (honeypot) — на каждый из них загрузили различные образцы зловредов, относящихся к Equation. Антивирусы не выявили необычных (неисполняемых) образцов на этих системах-ловушках. Все принятые сведения об этих детектах мы обработали в обычном порядке.
• Расследование не выявило похожих инцидентов в 2015, 2016 или 2017 годах.
• Мы не нашли следов других вторжений в сеть «Лаборатории Касперского», помимо атаки Duqu 2.0.
• Расследование подтвердило, что «Лаборатория Касперского» никогда не внедряла в свои продукты механизмы обнаружения безопасных невредоносных документов по таким ключевым словам, как «top secret» и «classified».

Мы считаем, что проведенный анализ полно и точно описывает инцидент 2014 года. Расследование продолжается, и компания будет публиковать новые технические подробности по мере их поступления. В рамках нашей глобальной инициативы по информационной открытости мы предоставим доверенной третьей стороне на перепроверку полные сведения об этом инциденте, включая все технические подробности.

31.10.2017