Cumpara acum
Prima pagină:

PDF
Descarcă »

Caricatura zilei:

PDF


Anunturi Publicitare Online
Sondaj:

Care sunt soluţiile pentru eficientizarea sistemului sanitar?

Scăderea birocraţiei
Creşterea transparenţei
Construcţia de spitale noi
Modernizarea spitalelor vechi
Parteneriatul public privat

Comentarii (7) »
Sondaje vechi »

Contact:

Adresa:
Str. Cristian Popisteanu nr. 2-4
Sector 1, Bucuresti
Telefon/Fax:
021.527.19.13
0758.256.441
E-mail:
[email protected] national.ro

[email protected] national.ro




« Alte articole din categoria IT&C

Kaspersky Lab publică rezultatele investigaţiei interne legate de codul-sursă al Equation APT

IT&C


Sursa foto: securelist.com

Data adaugarii: 2017-11-20

Versiunea pentru tiparire
Trimite prin e-mail

Marimea textului:


La începutul lunii octombrie, a fost publicat un articol în Wall Street Journal, în care se afirma că software-ul KasperskyLab a fost folosit pentru a descărca informaţii clasificate de pe calculatorul de acasă al unui angajat NSA. Kaspersky Lab combate de peste 20 de ani spionajul cibernetic şi infracţionalitatea cibernetică, prin urmare aceste acuzaţii au fost luate foarte în serios de companie. Kaspersky Lab a derulat o investigaţie internă pentru a obţine dovezi şi a răspunde motivelor de îngrijorare. 

Rezultatele preliminarii ale investigaţiei au fost publicate pe 25 octombrie. Acestea conţin principalele rezultate ale procesului de căutare de dovezi început de companie, referitor la cele relatate de mass-media. Noul raport confirmă descoperirile iniţiale şi oferă detalii obţinute din analiza datelor de telemetrie ale produselor Kaspersky Lab privind incidentul. Datele telemetrice descriu activitatea suspectă înregistrată pe computerul în cauză în perioada incidentului, care a avut loc în 2014. 

Rezumatul contextului:

Pe 11 septembrie 2014, un produs Kaspersky Lab instalat pe un computer din SUA a semnalat infectarea cu ceea ce păreau a fi variante din malware-ul folosit de grupul Equation - un atacator complex a cărui activitate era investigată din martie 2014. 
După aceea, utilizatorul pare să fi descărcat şi instalat software piratat pe acest dispozitiv, mai exact un fişier Microsoft Office ISO şi un instrument de activare a unei licenţe frauduloase Microsoft Office 2013 (cunoscut şi sub denumirea de “keygen”).
Pentru a instala copia piratată de Office 2013, utilizatorul pare să fi dezactivat produsul Kaspersky Lab de pe computer, pentru că nu ar fi fost posibilă executarea acestui program pentru activarea unei licenţe frauduloase, cu antivirusul pornit. 
Programul de activare a unei licenţe frauduloase conţinut de Office ISO era infectat cu malware. Utilizatorul a fost infectat cu acest malware pentru o perioadă de timp nedeterminată, în timp ce produsul Kaspersky Lab era inactiv. Malware-ul era format dintr-un backdoor care ar fi putut permite unor terţi să acceseze dispozitivul utilizatorului.
Atunci când a fost activat din nou, produsul Kaspersky Lab a detectat malware-ul cu verdictul Backdoor.Win32.Mokes.hvl şi i-a blocat comunicarea cu un server de comandă şi control cunoscut. Prima detecţie a acestui program malware de instalare a fost pe 4 octombrie 2014. 
În plus, produsul antivirus a detectat şi nişte variante noi, care nu mai fuseseră văzute anterior, de malware aparţinând APT-ului Equation.
Unul dintre fişierele detectate de produs ca noi variante de malware Equation a fost o arhivă 7zip, care a fost trimisă înapoi, conform acordurilor cu utilizatorul final şi KSN, la Kaspersky Virus Lab, pentru o analiză suplimentară.
În urma analizei, s-a descoperit că arhiva conţinea numeroase fişiere, inclusiv instrumente cunoscute şi necunoscute ale grupului Equation, codul sursă, precum şi documente clasificate. Analistul a raportat CEO-ului incidentul. În urma solicitării CEO-ului, arhiva, codul sursă şi orice informaţii potenţial clasificate au fost şterse din sistemele companiei, în următoarele zile. Cu toate acestea, fişiere binare legitime sunt în prezent în posesia Kaspersky Lab.
Arhiva nu a fost transmisă către nicio altă terţă parte. 
Motivul pentru care Kaspersky Lab a şters acele fişiere şi va şterge unele similare şi pe viitor este dublu: în primul rând, are nevoie doar de binare malware pentru a-şi îmbunătăţi protecţia şi, în al doilea rând, manevrarea unor materiale potenţial clasificate trezeşte o anumită îngrijorare. 
Din cauza acestui incident, a fost creată o nouă politică pentru toţi analiştii malware: acum li se cere să şteargă orice material posibil clasificat care a fost colectat accidental în timpul cercetării anti-malware. 
Investigaţia nu a scos la iveală niciun alt incident similar în 2015, 2016 sau 2017.
Până în prezent, nu a mai fost detectată prezenţa niciunui intrus în reţelele Kaspersky Lab, în afară de cazul Duqu 2.0.
Pentru a asigura obiectivitatea investigaţiei interne, am realizat-o folosind numeroşi analişti, printre care unii de origine non-rusă şi care lucrează în afara Rusiei, pentru a evita orice potenţiale acuzaţii sau influenţă.

Alte descoperiri 

Una dintre descoperirile importante de la începutul investigaţiei a fost aceea că PC-ul în cauză a fost infectat cu backdoor-ul Mokes - un malware care permite utilizatorilor rău-intenţionaţi să obţină acces de la distanţă la un computer. În cursul investigaţiei, cercetătorii Kaspersky Lab s-au uitat mai atent la acest backdoor şi la alte date de telemetrie care nu au legătură cu Equation, trimise de pe computer.

Backdoor-ul Mokes are un istoric ciudat

Se ştie că backdoor-ul Mokes (cunoscut şi ca Smoke Bot sau Smoke Loader) a apărut pe forumurile underground din Rusia, fiind pus în vânzare în 2011. Cercetarea Kaspersky Lab arată că, în perioada septembrie - noiembrie 2014, serverele de comandă şi control ale acestui malware au fost înregistrate pe numele unei entităţi care pare a fi din China, cunoscută sub numele “Zhou Lou”. În plus, o analiză suplimentară a telemetriei KasperskyLab a arătat că este posibil ca backdoor-ul Mokes să nu fi fost singurul malware care infecta PC-ul în cauză, în perioada incidentului, pentru că pe aparat au fost detectate şi alte programe de activare de licenţe frauduloase şi “keygens”.

Malware non-Equation

Pe parcursul a două luni, produsul a raportat semnale de alarmă privind 121 de mostre de malware non-Equation: backdoor-uri, exploit-uri, troieni şi Adware. Toate aceste alerte, coroborate cu o cantitate limitată de date telemetrice, înseamnă că putem confirma că produsul a detectat ameninţările, dar este imposibil de determinat dacă au fost puse în executare în perioada în care produsul a fost dezactivat.
Kaspersky Lab continuă să cerceteze celelalte mostre malware şi urmează să fie publicate alte rezultate, în momentul în care analiza va fi finalizată. 

Concluzii:

- Soft-ul Kaspersky Lab s-a comportat cum era de aşteptat şi i-a notificat pe analiştii noştri de alerte în legătură cu semnăturile scrise, pentru a detecta malware-ul grupului Equation, care era deja sub investigaţie, de şase luni. Toate acestea sunt în concordanţă cu descrierea funcţionalităţii produsului, cu scenariile şi documentele juridice cu care utilizatorul a fost de acord înainte de instalarea programului.
- Ceea ce se crede a fi fost informaţie clasificată a fost reţinut pentru că aceasta era conţinută în arhiva care includea semnătura de malware Equation.
- În afară de malware, arhiva conţinea şi ceva ce părea a fi codul sursă pentru malware-ul Equation şi patru documente Word care purtau mărcile “clasificat”. Kaspersky Lab nu deţine informaţii despre conţinutul acestor documente pentru că au fost şterse câteva zile mai târziu.
- Kaspersky Lab nu poate aprecia dacă aceste informaţii au fost “manevrate corespunzător” (potrivit normelor guvernului american), din moment ce analiştii noştri nu au fost pregătiţi în legătură cu modul de gestionare a unor informaţii clasificate ale SUA şi nici nu au obligaţia legală de a proceda astfel. Informaţia nu fost dezvăluită niciunei alte părţi terţe. 
- Contrar celor apărute în multe publicaţii, nu a fost găsită nicio dovadă că cercetătorii Kaspersky Lab au încercat vreodată să emită semnături “silenţioase”, menite să caute documente cu ajutorul unor cuvinte precum “top secret”, “clasificat” şi alte cuvinte similare.
- Infectarea cu backdoor-ul Mokes şi alte potenţiale infectări cu programe malware non-Equation indică posibilitatea ca date ale utilizatorului să se fi “scurs” către un număr necunoscut de terţi, ca urmare a accesului de la distanţă la computer.
Fiind o companie transparentă, Kaspersky Lab este gata să ofere informaţii suplimentare despre investigaţie, într-o manieră responsabilă, unor terţi relevanţi din organizaţii guvernamentale şi din partea clienţilor îngrijoraţi de recentele articole.
 
  • Currently nan/5
  • 1
  • 2
  • 3
  • 4
  • 5
Noteaza articolul.

 



Comentarii

Curierul National nu este responsabilă juridic pentru conţinutul textelor de mai jos. Responsabilitatea pentru mesajele dumneavoastră vă revine în exclusivitate.

    Adauga comentariul tau:
    * Nume: Email:

    * Mesaj:

    caractere rămase.

    Câmpurile notate cu * sunt obligatorii. Adresa de e-mail nu va fi publicată pe site. Mesajele sunt citite de redactorii Curierul National şi pot fi publicate in ziar.


    Recomandat Curierul National
    Ultimele comentarii:

    mi-am luat popcorn, sa urmaresc prabuselnitza in d ...
    Sperietoarea Split TVA

    de ce sunt permisi fosfatii, nitratii, nitritii, a ...
    Aditivii de fosfat în carnea de kebab: propunerea Comisiei merge mai departe

    vreau d-alea pe 10 ani cu 1% de toti banii! ...
    Programul “Tezaur” de emisiuni de titluri de stat destinate populaţiei va demara în 2018

    daca esti pensionar britanic, este mai avantajos s ...
    Salariaţii aleg independenţa fiscală

    CLIMA. Subiect foarte important pentru intreaga pl ...
    Semnal de alarmă lansat de Emmanuel Macron la Summitul climatic de la Paris: "Suntem pe cale să pierdem bătălia. Este nevoie de o mobilizare mult mai puternică"

    Top articole:

    Afişează articolele cele mai:
    Votate | Comentate | Expediate

    Radio Sud

    Tipografia de Sud
    Orologia Primo minuto

    Sumarul ediţiei:

    Actualitate

    IT&C

    Transporturi