+38/050/370-3627
+38/067/502-3306
+38/044/257-2444
Новини

Лабораторія Касперського опублікувала підсумки розслідування інциденту з вихідним кодом програмного забезпечення Equation

«Лабораторія Касперського» завершила внутрішнє розслідування інциденту, пов'язаного із заявами низки ЗМІ про те, що програмне забезпечення компанії нібито використовувалося для пошуку та скачування засекреченої інформації з домашнього комп'ютера співробітника Агентства національної безпеки США (АНБ). Звіт підтверджує попередні висновки, які "Лабораторія Касперського" оприлюднила 25 жовтня. Однак у ньому є нові факти. Наприклад, аналіз телеметрії показав, що віддалений доступ до пристрою, про який йдеться, могла мати невідома кількість третіх осіб.

Одним із головних попередніх висновків було те, що комп'ютер користувача був заражений бекдором Mokes, який дозволяє зловмисникам отримати доступ до пристрою. Mokes (також відомий як Smoke Bot та Smoke Loader) вперше з'явився у продажу на андеграундних форумах у 2011 році. Дослідження «Лабораторії Касперського» показало, що в період з вересня по листопад 2014 року керуючі сервери цієї шкідливості були зареєстровані на, ймовірно, китайську організацію під назвою Zhou Lou.

Далі аналіз телеметрії «Лабораторії Касперського» показав, що Mokes міг бути не єдиним зловредом, який заразив вказаний комп'ютер у період інциденту. За два вказані місяці захисне рішення «Лабораторії Касперського», встановлене на комп'ютері, повідомило про 121 зразок шкідливого ПЗ, яке не стосується Equation. Серед них були бекдори, експлойти, троянці та рекламні програми. Враховуючи обмежену кількість доступної телеметрії (рішення «Лабораторії Касперського» періодично вимикалося користувачем), не можна однозначно сказати, чи запускалися виявлені шкоди в період, що відноситься до інциденту. Експерти Лабораторії Касперського продовжують вивчати це питання.

Підсумкові результати розслідування такі. Захисне рішення «Лабораторії Касперського» спрацювало так само, як і мало спрацювати при виявленні шкідливого коду. Воно повідомило аналітиків компанії про загрозу на підставі сигнатур ПО угруповання Equation, діяльність якої на той момент розслідувалася вже шість місяців. Всі ці дії відповідають заявленій функціональності продукту, стандартним сценаріям його роботи та юридичним документам, згоду з якими висловлює користувач перед встановленням рішення.

Інформація, яка, ймовірно, була секретною, була отримана експертами, тому що містилася в архіві, на який відреагувало рішення на підставі сигнатур Equation.

Окрім шкідливих програм, зазначений архів також містив вихідний код програмного забезпечення групування Equation та чотири текстові документи з грифами секретності. «Лабораторія Касперського» не має будь-якої інформації про зміст цих документів, оскільки їх було видалено після отримання.

«Лабораторія Касперського» не може оцінити, чи дотримано формальних процедур поводження з секретними даними, що відповідають американському законодавству. Експерти компанії не проходили інструктаж щодо поводження із засекреченими документами та не мають юридичних зобов'язань його проходити. При цьому жодна інформація з документів не передавалася третім особам.

На відміну від версії, озвученої в деяких ЗМІ, не було знайдено доказів, що дослідники «Лабораторії Касперського» будь-коли намагалися цілеспрямовано шукати документи з позначками «цілком таємно», «засекречено» та іншими аналогічними.

Зараження комп'ютера бекдором Mokes та потенційне зараження іншим шкідливим ПЗ вказує на можливість того, що доступ до даних користувача міг отримати невідоме коло третіх осіб.

Слідуючи принципам повної прозорості, «Лабораторія Касперського» готова надати додаткові деталі розслідування заінтересованим особам, таким як урядові організації та клієнти, стурбовані повідомленнями у ЗМІ.

Інші новини