Kaspersky x NSA
Há alguns meses o governo americano alegou que em 2014 a Kaspersky espionou e roubou arquivos do computador de um funcionário da NSA através do seu antivírus, algo que foi completamente negado pela empresa.
E mesmo sem prova alguma, o FBI sugeriu que empresas deixem de utilizar produtos da Kaspersky.
A Kaspersky então fez uma revisão dos registros de telemetria dos incidentes reportados na mídia, e publicou os registros preliminares dessa investigação interna, publicando os resultados em detalhes aqui.
De acordo com os registros da telemetria da Kaspersky, este é um resumo do que aconteceu (Kaspersky x NSA):
1. A primeira detecção de malware Equation nesse incidente foi dia 11/Set/2014 com a amostra 44006165AABF2C39063A419BC73D790D e arquivo mpdkg32.dll, que foi detectado como Trojan.Win32.GrayFish.gen
2. O usuário baixou e instalou o Office 2013 pirata Office-2013-PPVL-x64-en-US-Oct2013.iso e utilizou um gerador de chave de ativação ilegal do Microsoft Office (keygen) com md5 a82c0575f214bdc7c8ef5a06116cd2a4 (veja análise dele no VirusTotal) que foi detectado como trojan Win32.Mokes.hvl pelo antivírus da Kaspersky que o usuário estava utilizando.
3. Como o antivírus impediu a instalação do keygen, o usuário desabilitou o antivírus e instalou o keygen, que tinha um backdoor que permitia acesso remoto ao seus arquivos.
4. O usuário então reativou o antivírus, que detectou o keygen como Win32.Mokes.hvl e bloqueou o malware.
5. Depois que o usuário notou que havia sido infectado, ele realizou vários escaneamentos no computador e o antivírus da Kaspersky detectou ali variantes novas e desconhecidas do malware Equation APT.
Ao meu ver a questão FBI x Kaspersky é totalmente política (e não técnica), uma vez que o presidente Trump tem relação com o governo russo, seus aliados e também investidores russos desde os anos 80, criando uma série de conflitos de interesse com a Rússia.
Kaspersky alega que funcionário da NSA foi infectado por keygen do Office 2013
Kaspersky x NSA: abaixo está uma tradução livre do artigo original publicado pela Kaspersky (com link adicionado por nós sobre o Duqu 2.0):
Em outubro de 2017, a Kaspersky Lab iniciou uma revisão completa de nossos registros de telemetria em relação aos supostos incidentes de 2015 descritos na mídia.
Nós estávamos cientes apenas de um único incidente que aconteceu em 2014 durante uma investigação da APT quando nossos subsistemas de detecção pegaram o que parecia ser arquivos de código-fonte do malware Equation e decidimos verificar se houveram incidentes semelhantes. Além disso, decidimos investigar se houve outros intrusos em nossos sistemas, além do Duqu 2.0 identificado no incidente de 2015.
Realizamos uma investigação profunda associada ao caso a partir de 2014 e os resultados preliminares desta investigação revelaram o seguinte:
Durante a investigação da Equation APT (Advanced Persistent Threat), observamos infecções de todo o mundo, em mais de 40 países.
Algumas dessas infecções foram observadas nos EUA.
Como um procedimento de rotina, a Kaspersky Lab vem informando as instituições relevantes do governo dos EUA sobre infecções APT ativas nos EUA.
Uma das infecções nos EUA aparentemente incluia novas e desconhecidas versões do malware usadas pelo grupo Equation.
O incidente em que novas amostras do malware da Equation foi detectado pelo nosso antivírus para uso doméstico que tinha o KSN habilitado e o envio automático de amostras de malware desconhecido também ativado.
A primeira detecção de malware Equation neste incidente foi em 11 de setembro de 2014. A seguinte amostra foi detectada:
44006165AABF2C39063A419BC73D790D – mpdkg32.dll, Veredicto: HEUR: Trojan.Win32.GrayFish.gen
Após essas detecções, o usuário parece ter baixado e instalado o software pirateado em suas máquinas, conforme indicado por um gerador de chave de ativação ilegal do Microsoft Office (também conhecido como “keygen”) (md5: a82c0575f214bdc7c8ef5a06116cd2a4 – veja este link do VirusTotal) que era um malware detectado pelos produtos da Kaspersky Lab como Win32.Mokes.hvl.
O malware foi detectado dentro de uma pasta chamada “Office-2013-PPVL-x64-en-US-Oct2013.iso”. Isso sugere uma imagem ISO montada no sistema como uma unidade / pasta virtual.
A detecção do Backdoor.Win32.Mokes.hvl (o falso keygen) está disponível nos produtos da Kaspersky Lab desde 2013.
A primeira detecção do keygen malicioso (falso) nesta máquina foi em 4 de outubro de 2014.
Para instalar e executar este keygen, o usuário parece ter desabilitado os produtos Kaspersky em sua máquina. Nossa telemetria não nos permite dizer quando o antivírus foi desativado, mas o fato que o keygen foi detectado posteriormente em funcionamento no computador indica que o antivírus foi desativado ou não não estava habilitado quando o keygen foi executado. O keygen não seria executado se o antivírus estivesse habilitado.
O computador manteve-se infectado por um período não especificado enquanto o antivírus estava desabilitado. O malware instalado pelo keygen era um backdoor completo que pode ter permitido o acesso de terceiros à máquina do usuário.
Mais tarde o usuário reativou o antivírus, o malware foi devidamente detectado (veredicto: ” Win32.Mokes.hvl “) e bloqueado.
Depois que o usuário notou que havia sido infectado, ele realizou vários escaneamentos no computador e o antivírus da Kaspersky detectou ali variantes novas e desconhecidas do malware Equation APT.
A última detecção desta máquina foi em 17 de novembro de 2014: Kaspersky x NSA.
Um dos arquivos detectados pelo antivírus como novas variantes do malware da Equation APT foi um arquivo 7-zip.
O próprio arquivo foi detectado como malicioso e submetido à Kaspersky Lab para análise, onde foi processado por um dos analistas. Após o processamento, concluiu-se que o arquivo continha várias amostras de malware e código-fonte que aparentemente era do malware Equation.
Depois de descobrir o código-fonte suspeito do malware da Equation, o analista informou o incidente ao CEO. Após um pedido do CEO, o arquivo foi excluído de todos os nossos sistemas e não foi compartilhado com terceiros.
Nenhuma detecção adicional foi recebida deste usuário em 2015.
Após o nosso anúncio de Equação de fevereiro de 2015, vários outros usuários com o KSN habilitado apareceram na mesma faixa de IP que a detecção original. Estes parecem ter sido configurados como “honeypots”, aonde cada computador tinha várias amostras relacionadas à Equation. Nenhuma amostra incomum (não executável) foi detectada e enviada a partir desses “honeypots” e as detecções não foram processadas de forma especial.
A investigação não revelou outros incidentes relacionados em 2015, 2016 ou 2017.
Nenhuma outra intrusão de terceiros, além do Duqu 2.0, foi detectada nas redes da Kaspersky Lab.
A investigação confirmou que a Kaspersky Lab nunca criou uma detecção específica para documentos importantes com base em palavras-chave como “top secret” e “classificado”.
Acreditamos que o acima é uma análise precisa deste incidente a partir de 2014. A investigação ainda está em andamento e a empresa fornecerá informações técnicas adicionais à medida que elas se tornem disponíveis.
Estamos planejando compartilhar informações completas sobre esse incidente, incluindo todos os detalhes técnicos com um terceiro confiável como parte de nossa Iniciativa de Transparência Global para verificação cruzada.
O Blog da Kaspersky pode ser acessado aqui.
UPDATE
Kaspersky x NSA: um ex-funcionário da NSA, a Agência Nacional de Segurança dos Estados Unidos, foi condenado a cinco anos de prisão por ter levado informações e ferramentas confidenciais para casa.
O ex-funcionário se chama Nghia Hoang Pho e fez parte do grupo Tailored Access Operations (TAO) da NSA. Ele começou a levar para casa informações confidenciais da agência, como documentos e ferramentas de hacking, em 2010 e continuou a fazer isso até 2015 – quando ele finalmente foi pego.
Pho se declarou culpado em dezembro passado. Os promotores pediram 96 meses de prisão, a pena máxima para o crime de retenção intencional de informações de defesa nacional, mas o juiz da cidade de Maryland o sentenciou a 66 meses de prisão seguidos por três meses de liberdade supervisionada.
De acordo com o Procurador Assistente General Demers, a retenção intencional de informações confidenciais durante quase cinco anos colocou em risco as capacidades da comunidade de inteligência e seus métodos, tornando alguns deles inutilizáveis.
Durante o julgamento, Pho disse que levou as informações e ferramentas para casa e assim fazer trabalhos extras e conseguir uma promoção.
Embora o governo dos EUA nunca tenha confirmado oficialmente, vários artigos na mídia norte-americana publicados no ano passado alegavam que Pho era o funcionário da NSA responsável por levar para parte do arsenal da agência para hacking.
Estas ferramentas foram então posteriormente roubadas do computador de Pho com o auxílio de um gerador de chaves de ativação ilegal do Office 2013, conforme detalhado acima.
Kaspersky x NSA: vale lembrar que a Kaspersky sempre foi acusada pelos EUA de ter roubados as informações para os russos usando seu antivírus, mas a investigação da empresa mostrou que não foi isso o que aconteceu.
Mesmo com os resultados da investigação, agências governamentais dos Estados Unidos continuam proibidas de fazer uso de softwares da Kaspersky.
A Kaspersky é russa. Isso não é perigoso?
Embora a Kaspersky seja uma empresa russa, em 2018 ela anunciou que toda infraestrutura dela seria movida da Rússia para a Suíça para seguir as leis suíças de proteção de dados – e isso foi finalizando no final de 2020.
Essa iniciativa se chama Transparência Global e foi necessário para a Kaspersky garantir a privacidade dos dados dos usuários, além de permitir que governos e corporações possam analisar o código-fonte dos produtos dela para acabar com qualquer desconfiança pelo fato dela ser uma empresa russa.
Com isso, ela criou cinco Centros de Transparência regionais: na Europa tem um em Zurique na Suíça e outro em Madri na Espanha, na Ásia tem o de Kuala Lampur que fica na Malásia, o Centro de Transparência na América do Norte fica em New Brunswick no Canadá, e na América do Sul ele fica em São Paulo.
Além disso, até hoje não existe NENHUMA PROVA REAL contra ela ou seus produtos em relação a roubo de dados ou colaboração com o governo russo.