W dzisiejszym komunikacie firma Kaspersky Lab odniosła się do zarzutów, jakie przedstawiły amerykańskie media. Kaspersky poinformował, że w październiku 2017 roku rozpoczął dogłębną analizę swoich dzienników telemetrycznych w związku z rzekomymi incydentami z 2015 r., które zostały opisane przez amerykańskie media. Firma podaje, że wiedziała jedynie o jednym incydencie, który miał miejsce w 2014 r. podczas badania zagrożenia APT, gdy podsystemy wykrywające Kaspersky Lab zidentyfikowały pliki przypominające kod źródłowy szkodliwego oprogramowania grupy Equation.

Firma zdecydowała się zatem sprawdzić, czy istniały jakieś podobne incydenty. Ponadto podjęto również decyzję o sprawdzeniu, czy w czasie rzekomego incydentu z 2015 r. w systemach Kaspersky Lab były jeszcze inne zagrożenia pochodzące z zewnątrz oprócz Duqu 2.0.

Wstępne wyniki przeprowadzonego przez Kaspersky Lab dogłębnego badania w tej sprawie z 2014 r. są następujące:

• Podczas badania zagrożenia APT (Advanced Persistent Threat) o nazwie Equation Kaspersky Lab zaobserwował infekcje na całym świecie, w ponad 40 krajach.
• Część tych infekcji miała miejsce w Stanach Zjednoczonych.
• W ramach standardowej procedury Kaspersky Lab poinformował odpowiednie instytucje rządowe w Stanach Zjednoczonych o aktywnych infekcjach APT w tym kraju.
• Jedna z infekcji w Stanach Zjednoczonych obejmowała nowe, nieznane i poprawione odmiany szkodliwego oprogramowania, którego używała grupa Equation.
• W incydencie, w którym wykryto nowe próbki zagrożenia Equation, wykorzystywane były produkty Kaspersky Lab przeznaczone dla użytkowników domowych, w których włączona była funkcja KSN oraz automatyczne wysyłanie próbek nowych i nieznanych szkodliwych programów.
• Okazało się również, że użytkownik musiał mieć pobrane i zainstalowane pirackie oprogramowanie na swoich komputerach, takie jak nielegalny generator kluczy aktywacyjnych dla pakietu Microsoft Office (md5: a82c0575f214bdc7c8ef5a06116cd2a4 – więcej informacji na temat wykrywania tego narzędzia znajduje się w na tej stronie VirusTotal), który był zainfekowany szkodliwym programem. Produkty Kaspersky Lab wykrywały ten szkodliwy program z werdyktem Backdoor.Win32.Mokes.hvl.
• Aby zainstalować i uruchomić wspomniany generator kluczy, użytkownik musiał wyłączyć produkt Kaspersky Lab na swoim komputerze. Dane telemetryczne Kaspersky Lab nie umożliwiają sprawdzenia, w jakim czasie antywirus został wyłączony, jednak fakt, że szkodliwe oprogramowanie zostało później wykryte jako aktywne w systemie, sugeruje, że antywirus został wyłączony lub ochrona nie była aktywna, gdy działał generator kluczy. Uruchomienie generatora kluczy nie byłoby możliwe przy włączonym antywirusie.
• Użytkownik był zainfekowany szkodliwym programem przez nieokreślony czas, gdy produkt Kaspersky Lab był nieaktywny. Szkodliwy program dostarczony przez zainfekowany trojanem generator kluczy był pełnoprawnym backdoorem (szkodliwe narzędzie dające zdalny dostęp do zarażonej maszyny), który być może umożliwił stronom trzecim dostęp do komputera użytkownika.
• Gdy użytkownik włączał program antywirusowy w późniejszym czasie, produkt Kaspersky Lab poprawnie wykrywał (z werdyktem: Backdoor.Win32.Mokes.hvl) i blokował działanie tego szkodliwego narzędzia.
• Po zainfekowaniu szkodliwym programem Backdoor.Win32.Mokes.hvl użytkownik wielokrotnie przeprowadzał skanowanie komputera, co skutkowało wykrywaniem nowych i nieznanych odmian narzędzi grupy Equation.
• Jednym z plików wykrytych przez produkt jako nowa odmiana narzędzia grupy Equation było archiwum programu 7zip.
• Samo archiwum zostało zaklasyfikowane jako szkodliwe i wysłane do firmy Kaspersky Lab w celu analizy, gdzie zostało zbadane przez analityka. Następnie okazało się, że zawiera ono wiele próbek szkodliwego oprogramowania oraz kod, który wydawał się być kodem źródłowym narzędzia grupy Equation.
• Po wykryciu podejrzanego kodu źródłowego narzędzia grupy Equation analityk zgłosił ten incydent dyrektorowi generalnemu. Postępując zgodnie z jego wytycznymi, archiwum zostało usunięte ze wszystkich systemów Kaspersky Lab. Archiwum to nie zostało udostępnione żadnym podmiotom zewnętrznym.
• Z komputera wspomnianego użytkownika nie zostały przesłane żadne inne sygnały o szkodliwych programach w 2015 r.
• Po opublikowaniu przez Kaspersky Lab informacji o wykryciu zagrożenia Equation w lutym 2015 r. okazało się, że w tym samym zakresie adresów IP, w którym wykryto pierwotną infekcję, pojawiło się kilku innych użytkowników produktów Kaspersky Lab z włączoną funkcją KSN. Wyglądało na to, że były to specjalnie przygotowane “wabiki” – każdy komputer otrzymywał różne próbki związane z Equation. Żadne nietypowe (niewykonywalne) próbki nie zostały wykryte ani wysłane z tych “wabików”, a całe zdarzenie nie zostało szczegółowo przeanalizowane.
• Badanie nie ujawniło żadnych innych powiązanych incydentów w 2015, 2016 czy 2017 r.
• Oprócz Duqu 2.0 żadne inne obce oprogramowanie nie zostało wykryte w sieciach firmy Kaspersky Lab.
• Badanie potwierdziło, że Kaspersky Lab nigdy nie przygotował żadnych procedur wykrywania dla swoich produktów na podstawie takich słów kluczowych jak “top secret” czy “classified”.

Kaspersky Lab uważa, że powyższe informacje stanowią dokładną analizę incydentu z 2014 r. Badanie to wciąż jest w toku, a firma przedstawi dodatkowe informacje techniczne, gdy tylko będą one dostępne. Firma zamierza udostępniać wszelkie informacje związane z tym incydentem, w tym wszystkie informacje techniczne, zaufanym organom zewnętrznym w ramach inicjatywy Global Transparency Initiative na poczet weryfikacji krzyżowej.

Wokół Kaspersky Lab jest ostatnio wiele szumu. Firma jest oskarżana o działalność na rzecz rosyjskiego wywiadu – przynajmniej tak twierdzą izraelskie służby. Używanie produktów Kaspersky zostało zakazane w amerykańskiej administracji, a o konsekwencjach wizerunkowych można by wiele pisać. Oskarżenia wobec rosyjskiej firmy są mniej lub bardziej prawdziwe, jednak nie udowodnione. Nawet jeśli firma nie robiła nic, co mogłoby jakkolwiek pomóc rosyjskim służbom specjalnym, to i tak ma już bardzo poważne problemy.