ЛК объявила итоги внутреннего расследования об утечке кибероружия АНБ

ЛК объявила итоги внутреннего расследования об утечке кибероружия АНБ

ЛК объявила итоги внутреннего расследования об утечке кибероружия АНБ

«Лаборатория Касперского» завершила внутреннее расследование инцидента, связанного с заявлениями ряда СМИ о том, что ПО компании якобы использовалось для поиска и скачивания засекреченной информации с домашнего компьютера сотрудника Агентства национальной безопасности США (АНБ).

Отчет подтверждает предварительные выводы, которые «Лаборатория Касперского» обнародовала 25 октября. Однако в нем есть и новые факты. Например, анализ телеметрии показал, что удаленный доступ к устройству, о котором идет речь, могло иметь неизвестное количество третьих лиц.

Одним из главных предварительных выводов было то, что компьютер пользователя был заражен бэкдором Mokes, который позволяет злоумышленникам получить доступ к устройству. Mokes (также известный как Smoke Bot и Smoke Loader) впервые появился в продаже на русскоязычных андеграундных форумах в 2011 году. Исследование «Лаборатории Касперского» показало, что в период с сентября по ноябрь 2014 года управляющие серверы этого вредоноса были зарегистрированы на, предположительно, китайскую организацию под названием Zhou Lou.

Дальнейший анализ телеметрии «Лаборатории Касперского» показал, что Mokes мог быть не единственным зловредом, заразившим указанный компьютер в период инцидента. За два указанных месяца защитное решение «Лаборатории Касперского», установленное на компьютере, сообщило о 121 образце вредоносного ПО, не относящемся к Equation. Среди них были бэкдоры, эксплойты, троянцы и рекламные программы. Учитывая ограниченное количество доступной телеметрии (решение «Лаборатории Касперского» периодически отключалось пользователем), нельзя однозначно сказать, запускались ли обнаруженные вредоносы в период, относящийся к инциденту. Эксперты «Лаборатории Касперского» продолжают изучать этот вопрос.

Итоговые результаты расследования таковы:

Защитное решение «Лаборатории Касперского» сработало ровно так, как и должно было сработать при обнаружении вредоносного кода. Оно уведомило аналитиков компании об угрозе на основании сигнатур ПО группировки Equation, деятельность которой на тот момент расследовалась уже шесть месяцев. Все эти действия соответствуют заявленной функциональности продукта, стандартным сценариям его работы и юридическим документам, согласие с которыми выражает пользователь перед установкой решения.

Информация, которая предположительно была секретной, была получена экспертами, потому что содержалась в архиве, на который отреагировало решение на основании сигнатур Equation.

Помимо вредоносных программ, указанный архив также содержал исходный код ПО группировки Equation и четыре текстовых документа с грифами секретности. «Лаборатория Касперского» не обладает какой-либо информацией о содержании этих документов, так как они были удалены после получения.

«Лаборатория Касперского» не может оценить, были ли соблюдены формальные процедуры обращения с секретными данными, соответствующие американскому законодательству. Эксперты компании не проходили инструктаж по обращению с засекреченными документами и не имеют юридических обязательств его проходить. При этом никакая информация из документов не передавалась третьим лицам.

В отличие от версии, озвученной в некоторых СМИ, не было найдено доказательств, что исследователи «Лаборатории Касперского» когда-либо пытались целенаправленно искать документы с пометками «совершенно секретно», «засекречено» и другими аналогичными.

Заражение компьютера бэкдором Mokes и потенциальное заражение другим вредоносным ПО указывает на возможность того, что доступ к данным пользователя мог получить неизвестный круг третьих лиц.

Следуя принципам полной прозрачности, «Лаборатория Касперского» готова предоставить дополнительные детали расследования заинтересованным лицам, таким как правительственные организации и клиенты, озабоченные сообщениями в СМИ.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Шпионы Sticky Werewolf предлагают выполнять оборонзаказы с помощью зэков

Отпраздновав Новый год, шпионская кибергруппа Sticky Werewolf возобновила рассылку вредоносных писем на адреса российских научно-производственных предприятий. Поддельные сообщения, по словам F.A.C.C.T., написаны от имени Минпромторга.

Фальшивка, обнаруженная 13 января, предлагает рассмотреть возможность выполнения заказов ОПК с привлечением осужденных. К письму прикреплены два файла: документ-приманка на бланке Минпромторга, почти полностью дублирующий текст сообщения, и запароленный архив.

 

Последний содержит два файла, один из них безобидный (список рассылки.docx), другой вредоносный (Форма заполнения.pdf.exe). При запуске экзешника в систему устанавливается Ozone RAT, открывающий удаленный доступ злоумышленникам.

В ходе расследования эксперты обнаружили аналогичное письмо от 23 декабря. Оба вложения, уже знакомые документы Word, никакой опасности не представляют — по всей видимости, это была проба пера.

Примечательно, что при составлении текста писем имитаторы допустили ошибки. Так, упомянутый ими Денис Мантуров давно уже не глава Минпромторга, он покинул этот пост в мае прошлого года.

Подлог выдают также разные даты принятия решения об использовании пенитенциарной системы в оборонке, проставленные в январском и декабрьском письмах (в последнем случае злоумышленники указали тот же номер документа, но датировали его декабрем).

APT-группа Sticky Werewolf уже который год интересуется секретами российских госучреждений, промпредприятий ВПК и связанных с ним НИИ. Нацеленные на шпионаж атаки были замечены также на территории Белоруссии и Польши.

Их обычно предваряет рассылка поддельных писем на адреса намеченной жертвы. Вредоносные вложения могут содержать Darktrack RAT, Ozone RAT либо ворующего информацию трояна — Glory Stealer, MetaStealer (мод RedLine).

В прежних атаках на российские организации Sticky Werewolf прикрывалась именами МЧС, Минстроя, а также ФСБ России.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru