ЛК раскрыла результаты собственного расследования утечки данных АНБ

Эксперты «Лаборатории Касперского» опубликовали предварительные результаты собственного расследования утечки данных Агентства национальной безопасности США.

Согласно статье, опубликованной в начале октября изданием Wall Street Journal, в 2015 году злоумышленники похитили секретные документы АНБ с компьютера одного из подрядчиков спецслужбы. Если верить статье, хакеры работали на российское правительство и для взлома якобы проэксплуатировали уязвимость в антивирусном ПО «Лаборатории Касперского». В частности были похищены данные об используемых АНБ методах взлома зарубежных сетей и способах защиты от кибератак.

Сразу после выхода статьи эксперты ЛК инициировали собственное расследование, и в среду, 25 октября, представили его предварительные результаты. С целью получить сведения о возможном взломе в 2015 году исследователи изучили свои журналы данных телеметрии.

«Нам было известно только об одном инциденте, имевшем место в 2014 году во время расследования деятельности APT. Тогда наши подсистемы детектирования зафиксировали нечто, что оказалось файлами исходного кода вредоносного ПО Equation, и мы решили проверить, случались ли подобные инциденты еще. Мы также решили выяснить, имело ли место в 2015 году, когда произошел предполагаемый инцидент, постороннее вмешательство в наши системы помимо Duqu 2.0», - заявили в компании.

Предварительные результаты расследования оказались следующими. В ходе расследования активности APT Equation эксперты обнаружили заражение систем по всему миру (более чем в сорока странах). Некоторые случаи заражения были также зафиксированы в США. В рамках стандартной процедуры ЛК проинформировала американское правительство об активных атаках APT Equation на территории страны.

В одном случае для инфицирования компьютера в США использовался совершенно новый, ранее неизвестный вариант вредоносного ПО, используемый хакерской группировкой Equation Group (ее часто называют «хакерским подразделением» АНБ). Обнаружить инцидент удалось с помощью антивирусных решений ЛК.

Впервые вредонос, детектируемый как HEUR:Trojan.Win32.GrayFish.gen, был обнаружен 11 сентября 2014 года. Заражение произошло, когда пользователь загрузил и установил на своем компьютере нелицензионное ПО. Речь идет о пиратском генераторе ключей активации Microsoft Office. В папке Office-2013-PPVL-x64-en-US-Oct2013.iso генератора содержалось вредоносное ПО Backdoor.Win32.Mokes.hvl, детектируемый продуктами ЛК с 2013 года.

Впервые инфицированный генератор ключей был обнаружен на компьютере жертвы 4 октября 2014 года. Для того чтобы его установить, пользователь, очевидно, отключил продукт ЛК. «Выполнение генератора ключей было бы невозможным при включенном антивирусе», - уверяют в компании. Зараженный кейген установил на систему пользователя полноценный бэкдор, предоставляющий доступ к ней третьим сторонам.

Позднее пользователь снова включил антивирус, и продукт обнаружил и заблокировал вредоносную программу. После обнаружения Backdoor.Win32.Mokes.hvl жертва несколько раз просканировала свой компьютер, в результате чего был обнаружен новый вариант вредоносного ПО APT Equation. В последний раз на этой системе вредонос обнаружился 7 ноября 2014 года.

Вредонос представлял собой архив 7zip, детектированный как вредоносный и отправленный на анализ ЛК. Как показало исследование, архив содержал множество образцов вредоносного ПО, в том числе исходный код нового инструмента APT Equation.

По решению главы «Лаборатории Касперского», вредоносный архив был удален со всех корпоративных систем. Компания не передавала архив третьим сторонам. После 2015 года на компьютере вышеупомянутого пользователя вредонос больше не обнаруживался. В 2015-2017 годах новые инциденты, каким-либо образом связанные с вышеописанным, зафиксированы не были.