Предварительные результаты внутреннего расследования инцидентов, якобы произошедших по данным американских СМИ (пост обновлен)

В октябре 2017 года мы начали тщательную проверку логов телеметрии , чтобы расследовать заявления СМИ об инцидентах, предположительно произошедших в 2015 году. Ниже представлены предварительные результаты этой проверки.

Краткая версия в вопросах и ответах

— Почему вы начали это расследование?

— В октябре 2017 года несколько американских СМИ рассказали о произошедшем в 2015 году инциденте, в котором были замешаны наша система телеметрии Kaspersky Security Network и секретные данные NSA. Мы решили все как следует проверить.

— Удалось ли вам найти свидетельства подобных инцидентов?

— Нет, мы не нашли никакой информации о подобном инциденте в 2015 году. Однако в 2014 году действительно произошло нечто, напоминающее описанный в СМИ инцидент.

— Что именно случилось?

— Наш продукт обнаружил на компьютере пользователя уже известные образцы вредоносного ПО, созданного группой Equation. Позже на том же компьютере был обнаружен не связанный с Equation бэкдор, который попал в систему из пиратской копии Microsoft Office, а также 7zip-архив, содержащий ранее неизвестное вредоносное ПО. Архив был отправлен нашим продуктом на анализ в наш исследовательский центр. Как выяснилось при проверке, архив содержал исходные коды зловредов, предположительно разработанных группой Equation, а также несколько документов Word с грифом секретности.

— Что это был за бэкдор?

— Это был бэкдор Mokes, также известный под названиями «Smoke Bot» и «Smoke Loader». Интересно, что это вредоносное ПО продавалось на русскоязычных форумах с 2011 года. Еще один любопытный факт: в период с сентября по ноябрь 2014 года командный сервер этого зловреда был зарегистрирован предположительно китайской организацией с названием «Zhou Lou».

— Это было единственное вредоносное ПО, которым был заражен данный компьютер?

— Сложно сказать: наш антивирус был отключен на этом компьютере в течение длительного времени. Однако мы можем сообщить, что в те периоды, когда антивирус работал, он рапортовал о 121 попытках заражения различными типами вредоносного ПО, не связанного с группой Equation: бэкдорами, эксплойтами, Троянами и adware (полный список). По всей видимости, этот компьютер был весьма популярной целью.

— Искало ли ваше программное обеспечение этот архив специально? Например, по ключевым словам «секретные документы» или «совершенно секретно»?

— Нет. Вредоносный архив был обнаружен с помощью наших проактивных защитных технологий.

— Передавали ли вы третьим лицам этот архив или содержащиеся в нем файлы?

— Нет. Более того, архив был немедленно удален по распоряжению генерального директора.

— Почему вы стерли эти файлы?

— Потому что для улучшения защиты не нужны исходные коды, не говоря уже о предположительно секретных документах. Для этого более чем достаточно скомпилированных файлов (бинарников) — эти и только эти файлы и остались в нашем хранилище.

— Нашли ли вы свидетельство проникновения в вашу сеть?

— Кроме инцидента с Duqu 2.0, о котором мы сообщили сразу, как только его заметили — нет, других проникновений мы не обнаружили.

— Готовы ли вы поделиться данными для анализа с независимыми экспертами?

— Да, мы готовы предоставить все данные для независимого аудита. Те, кому интересны технические подробности результатов расследования, могут ознакомиться с ними уже сейчас вот в этом посте на Securelist.

Полная версия

В октябре 2017 года «Лаборатория Касперского» начала тщательный анализ логов телеметрии, чтобы проверить заявления СМИ об инцидентах, предположительно произошедших в 2015 году. Нам известно лишь об одном инциденте, произошедшем в 2014 году – в ходе расследования APT-угрозы. Тогда наша подсистема обнаружения поймала файлы, содержащие исходный код вредоносного ПО, по-видимому, авторства группы Equation. Мы решили расследовать, не было ли других подобных инцидентов. Кроме того, нам хотелось понять, не было ли в 2015 году проникновений в нашу корпоративную сеть, помимо уже известного нам инцидента с Duqu 2.0.

Мы тщательно расследовали случай 2014 года и выяснили следующее:

  • В ходе расследования деятельности APT-группы Equation (APT – продвинутые таргетированные атаки) мы зафиксировали заражение систем более чем в 40 странах.
  • Часть зараженных систем находилась в США.
  • Следуя стандартным процедурам, специалисты «Лаборатории Касперского» информировали соответствующие учреждения США об активных APT-заражениях в их регионе.
  • Один случай заражения в США включал новую, ранее неизвестную разновидность вредоносной программы, входящей в арсенал группы Equation.
  • Инцидент, во время которого были обнаружены новые образцы вредоносного ПО авторства Equation, произошел в системе с установленным решением из нашей линейки для домашних пользователей. При этом в системе был включен компонент KSN и активирована функция автоматической отправки образцов новых и неизвестных вредоносных программ.
  • Первое обнаружение зловреда Equation в рамках данного инцидента произошло 11 сентября 2014 года. Мы получили образец со следующими параметрами:
    • 44006165AABF2C39063A419BC73D790D
    • mpdkg32.dll
      Вердикт: HEUR:Trojan.Win32.GrayFish.gen
  • После обнаружения пользователь, по всей видимости, загрузил и установил пиратское программное обеспечение. Об этом говорит наличие нелегального генератора ключей активации для Microsoft Office, так называемого кейгена (MD5-хэш: a82c0575f214bdc7c8ef5a06116cd2a4 – показатель выявления доступен по этой ссылке на веб-сайте VirusTotal), который оказался заражен зловредом. Продукты «Лаборатории Касперского» определили это вредоносное ПО как Backdoor.Win32.Mokes.hvl.
  • Найденный зловред находился в папке «Office-2013-PPVL-x64-en-US-Oct2013.iso». Судя по всему, пользователь смонтировал в системе образ ISO в качестве виртуального диска или папки.
  • Информация о зловреде Backdoor.Win32.Mokes.hvl (поддельный кейген) есть в антивирусных базах «Лаборатории Касперского» еще с 2013 года.
  • Первое обнаружение вредоносного (поддельного) кейгена на этой системе произошло 4 октября 2014 года.
  • Чтобы установить и запустить этот кейген, пользователь, похоже, отключил защитное решение «Лаборатории Касперского» на компьютере. Данные телеметрии не позволяют определить, когда именно антивирус был отключен. Однако, если учесть, что антивирус позднее обнаружил запущенный на компьютере вредоносный кейген, это подтверждает, что он был отключен в момент запуска кейгена. С включенным антивирусом пользователь не смог бы запустить кейген.
  • Пока антивирус был отключен, компьютер оставался инфицирован зловредом — точная продолжительность этого периода времени нам не известна. Вредоносная программа в кейгене представляла собой полноценный бэкдор, открывающий посторонним лицам доступ к компьютеру пользователя.
  • Позднее пользователь включил антивирус, который правильно определил зловред и предотвратил его дальнейшие действия (вердикт: Backdoor.Win32.Mokes.hvl).
  • В ходе текущего расследования эксперты «Лаборатории Касперского» более внимательно изучили как этот бэкдор, так и другое, не связанное с Equation вредоносное ПО, о котором сообщала телеметрия с данной системы. Бэкдор Mokes (также известный как «Smoke Bot» и «Smoke Loader») продавался на русскоязычных хакерских форумах с 2011 года. Также наше исследование показало, что в период с сентября по октябрь 2014 года домен командного сервера данного зловреда был зарегистрирован на китайскую организацию под названием «Zhou Lou». Технический анализ бэкдора можно найти здесь.
  • За два месяца установленный в системе антивирус рапортовал о 121 попытке заражения различными образцами вредоносного ПО, не связанного с Equation: бэкдорами, эксплойтами, троянами и adware. Ограниченные данные телеметрии позволяют нам подтвердить тот факт, что наш продукт заметил эти угрозы, однако невозможно сказать, был ли компьютер заражен в течение того времени, когда антивирус был отключен пользователем. «Лаборатория Касперского» продолжает исследовать образцы зловредов, и новые результаты будут опубликованы, как только анализ будет завершен.
  • Узнав о заражении зловредом Backdoor.Win32.Mokes.hvl, пользователь несколько раз проверил компьютер на вирусы. Сканирование выявило новые, неизвестные разновидности APT-зловредов Equation.
  • В последний раз вредоносная активность на этом компьютере была зафиксирована 17 ноября 2014 года.
  • Один из файлов, которые антивирус определил как новую разновидность APT-зловреда Equation, представлял собой архив 7zip.
  • Архив был определен антивирусом как вредоносный и отправлен в «Лабораторию Касперского» на анализ, где был исследован одним из наших аналитиков. В ходе анализа в архиве были найдены несколько образцов зловредов, а также исходный код вредоносного ПО, предположительно, авторства Equation и четыре документа Word с грифами секретности.
  • Обнаружив исходный код вредоносного ПО, вероятно, принадлежащего Equation, аналитик доложил об этом генеральному директору. По указанию генерального директора архив был удален из всех наших систем. Данный архив не передавали каким-либо третьим лицам.
  • После данного инцидента в компании было заведено новое правило для антивирусных аналитиков: все потенциально секретные данные, которые могут быть случайно собраны в ходе исследований, должны быть удалены.
  • Две причины, по которым мы удалили эти файлы и будем удалять подобные файлы в дальнейшем: во-первых, для улучшения защиты нам нужны только бинарные файлы, во-вторых, мы не хотим связываться с обработкой и/или хранением потенциально секретных файлов.
  • В 2015 году мы не получали сообщений об обнаружении зловредов на системе этого пользователя.
  • После того как мы предоставили наше исследование деятельности группы Equation в феврале 2015 года, в том же диапазоне IP-адресов, что и оригинальная зараженная система, появились несколько других пользователей с включенным компонентом KSN. Предположительно, эти компьютеры использовались как «ловушки» (honeypot) — на каждый из них загрузили различные образцы зловредов, относящихся к Equation. Антивирусы не выявили необычных (неисполняемых) образцов на этих системах-ловушках. Все принятые сведения об этих детектах мы обработали в обычном порядке.
  • Расследование не выявило похожих инцидентов в 2015, 2016 или 2017 годах.
  • Мы не нашли следов других вторжений в сеть «Лаборатории Касперского», помимо атаки Duqu 2.0.
  • Расследование подтвердило, что «Лаборатория Касперского» никогда не внедряла в свои продукты механизмы обнаружения безопасных невредоносных документов по таким ключевым словам, как «top secret» и «classified».

Мы считаем, что проведенный анализ полно и точно описывает инцидент 2014 года. Расследование продолжается, и компания будет публиковать новые технические подробности по мере их поступления. В рамках нашей глобальной инициативы по информационной открытости мы предоставим доверенной третьей стороне на перепроверку полные сведения об этом инциденте, включая все технические подробности.

Пост был обновлен дважды: 27 октября 2017 года были добавлены временные отметки и ответы на часто задаваемые вопросы; 16 ноября 2017 были добавлены новые факты, найденные в ходе расследования. С техническими подробностями можно ознакомиться в посте на Securelist.

Советы