Kaspersky ispričao svoju stranu priče kako je NSA ''izgubila'' neke svoje hakerske alate

Vesti, 26.10.2017, 12:00 PM

Niko mesecima nije znao da američke vlasti istražuju veze proizvođača antivirusnog softvera kompanije Kaspersky Lab sa ruskom vladom. Tek nedavno, posle članaka objavljenih u Wall Street Journalu i New York Timesu, javnost je saznala da američka vlada sumnja da su agenti ruske obaveštajne službe FSB ili insajderi iz Kaspersky Laba koristili Kaspersky antivirus kao interaktivni pretraživač za skeniranje računara po celom svetu.

Wall Street Journal i New York Times su objavili priču o poverljivim dokumentima američke vlade koje je jedan od zaposlenih u američkoj Nacionalnoj bezbednosnoj agenciji (NSA) bez dozvole odneo kući, i koji su sa njegovog računara dospeli pravo u ruke ruske vlade.

Kaspersky Lab je više puta demantovao da je kompanija radila bilo šta loše, a posle medijskih izveštaja kompanija je obećala da će sprovesti istragu.

Prelimininarni rezultati istrage objavljeni su juče. Kaspersky Lab je priznao da je prikupljao tajne fajlove NSA, ali da to nikada nije bilo namerno, kao što su aludirali američki mediji.

Kompanija je objasnila da je proces bio automatizovan, jer su fajlovi bili hakerski alati detektovani sa potpisima povezanim sa malverom koji je kompanija tada istraživala i za koji je mislila da pripada nekoj sajber špijunskoj grupi.

To se dogodilo 2014., a Kaspersky je objavio izveštaj o toj grupi 2015. Taj izveštaj i ime grupe sada su već čuveni: reč je o grupi Equation za koju većina stručnjaka za bezbednost smatra da je jedinica za sajber operacije koja deluje u okviru NSA.

Kaspersky se nije bavio pretpostavkama sa čijeg računara su došle detekcije malvera grupe Equation, ali je kompanija objasnila da je taj korisnik koristio antivirus namenjen kućnim korisnicima, kome je bilo uključeno automatsko podnošenje uzoraka novih i nepoznatih malvera. Kompanija je objasnila i da su fajlovi pronađeni kod tog korisnika izgledali kao novi, nepoznati malver koji koristi Equation grupa.

Pošto je to bio novi malver, analitičar kompanije je pregledao prikupljene podatke kako bi potvrdio i klasifikovao novo otkriće. On je o ovim fajlovima obavestio direktora Kaspersky Laba, Jevgenija Kasperskog, kada je shvatio da to što je otkriveno bi mogao biti izvorni kod alata NSA.

Jevgeniji Kasperski je odlučio da fajlovi moraju biti obrisani. Kompanija nije navela razlog takve odluke, ali je naglasila da fajlovi nisu deljeni ni sa kim.

Rezultati istrage Kaspersky Laba potvrđuju teorije infosec zajednice o tome šta se dogodilo. Većina stručnjaka smatra da Kaspersky antivirus zaista nije uradio ništa više od onog što mu je posao, i to pošto je jedan od zaposlenih u NSA protivno pravilima izneo hakerske alate agencije i odneo ih kući, iz nepoznatih razloga.

Kaspersky Lab je pregledao telemetrijske podatke sa računara na kome su otkriveni alati NSA i saopštio da je isti računar ubrzo posle toga bio inficiran još jednim malverom. Zaposleni u NSA je na istom računaru preuzeo generator ključeva da bi instalirao piratizovanu verziju Microsoft Officea. Kao što to često biva sa takvim softverom, ovaj fajl je bio inficiran malverom - Win32.Mokes.hvl backdoor trojancem. Ono što Kaspersky Lab pokušava da kaže da je svaki sajber kriminalac mogao da pristupi ovom računaru na kome su bili alati NSA.

Sam korisnik računara primetio je da se nešto dešava, pošto je računar inficiran sa Win32.Mokes.hvl trojancem, pa je više puta skenirao računar Kaspersky antivirusom. Antivirus je izvestio korisnika ne samo o infekciji Mokes trojancem, već i malverom Equation grupe.

U jednom trenutku radnik NSA je morao da prijavi incident svojim nadležnima ili je NSA sama shvatila da su joj podaci procureli, jer kada je Kaspersky Lab objavio u februaru 2015. izveštaj o grupi Equation, brzo posle toga počela je da detektuje računare konfigurisane kao "honeypots".