קספרסקי: מקור הדליפה מה- NSA, מחשב ביתי נגוע של עובד הארגון

מעבדת קספרסקי השלימה חקירה פנימית בנושא ההאשמות שהעלה הקונגרס האמריקאי לגבי ריגול מצד החברה שהביאה לדליפה של מסמכי NSA. תוצאות החקירה מעלות כי התוכנה שלחה למטה החברה קבצים ממחשב נגוע של עובד NSA לצורך ניתוח. במהלך הניתוח התגלה כי מדובר במסכמים שהכילו קוד מקור ואשר סומנו כמסווגים. לדברי החברה, ברגע שהתגלה שמדובר במסמכים מסווגים התקבלה הוראה למחוק אותם לאלתר. החברה גם מעריכה כי קוד זדוני שהדביק את המחשב לאורך קופה בה העובד ניטרל את אבטחת המידע, אפשר לשחקני ריגול שונים לחלץ את הקוד הזדוני מהמחשב.

בתחילת אוקטובר פורסמה בוול סטריט ג'ורנל כתבה המאשימה כי תוכנה של מעבדת קספרסקי שימשה כדי להוריד מידע מסווג ממחשב ביתי של עובד ב- NSA.  כדי לאסוף עובדות לגבי הטענות שהועלו וכדי לענות על כל חשש שעלה מכתבה זו, ביצעה מעבדת קספרסקי חקירה פנימית בנושא.

תוצאות ראשוניות של החקירה פורסמו ב-25 באוקטובר. תוצאות אלה הציגו ממצאים כלליים מהחיפושים שביצעה החברה אחר עדויות לגבי הדיווחים בתקשורת. הדוח החדש מאמת את הממצאים הראשוניים ומספק תובנות נוספות מניתוח הטלמטריה של מוצרי קספרסקי ביחס לאירוע המדווח. הטלמטריה מתארת פעילות חשודה שנרשמה במחשב הנדון במהלך מסגרת הזמן של האירוע, אשר התרחש בשנת 2014.

מהלך העניינים:

• ב- 11 בספטמבר, 2014, מוצר מעבדת קספרסקי שהותקן על מחשב של משתמש בארה"ב דיווח על הדבקה על ידי מה שנראה כגרסה של קוד זדוני המשמש את קבוצת Equation APT – שחקן איום סייבר מתוחכם שהפעילות שלו כבר הייתה בחקירה פעילה מאז מרץ 2014.
• זמן מסוים לאחר מכן, נראה שהמשתמש הוריד והתקין תוכנה פיראטית על המחשב – קובץ ISO של תוכנת אופיס של מיקרוסופט וכלי הפעלה בלתי חוקי של תוכנת אופיס 2013 (המוכר כ- Keygen).
• כדי להתקין את העותק הפיראטי של אופיס 2013, נראה כי המשתמש ניטרל את מוצר מעבדת קספרסקי שהותקן במחשב שלו, מכיוון שהפעלה של הכלי הבלתי חוקי לא הייתה מתאפשרת כשהאנטי וירוס פעיל.
• כלי ההפעלה הבלתי חוקי היה נגוע בקוד זדוני. המשתמש הודבק בקוד זדוני לתקופה בלתי ידועה, בעת שמוצר מעבדת קספרסקי היה בלתי פעיל. הקוד הזדוני הורכב מדלת אחורית מקיפה שאפשרה לגורמים חיצוניים לגשת למחשב המשתמש.
• כאשר הוחזרה תוכנת מעבדת קספרסקי לפעולה, היא זיהתה את הקוד הזדוני כ- Win32.Mokes.hvl וחסמה את התקשורת שלו עם שרת פיקוד ושליטה בלתי ידוע. הזיהוי הראשון של התוכנה הזדונית היה ב- 4 באוקטובר, 2014.

• בנוסף, מוצר האנטי וירוס גם זיהה גרסאות מוכרות וחדשות של קוד הזדוני של Equation.
• אחד מהקבצים שזוהה על ידי המוצר כגרסה חדשה של הקוד הזדוני של Equation APT היה ארכיב 7zip, אשר נשלח, באישור משתתף הקצה ותחת הסכם רישיון KSN, אל מעבדת קספרסקי לניתוח נוסף.

• בעת הניתוח נחשף כי הארכיב הכיל מגוון קבצים, כולל כלים ידועים ובלתי מוכרים של קבוצת Equation, קוד מקור, וכן מסמכים מסווגים. האנליסט דיווח על האירוע למנכ"ל. בהמשך לבקשה מהמנכ"ל, הארכיב עצמו, קוד המקור, וכל מידע מסווג אחר, נמחקו תוך ימים ממערכות החברה. עם זאת, הקבצים הבינאריים של הקוד הזדוני נותרו באחסון מעבדת קספרסקי. הארכיב לא שותף עם אף גורם חיצוני.
• הסיבה שמעבדת קספרסקי מחקה את הקבצים האלה ותמחק קבצים דומים בעתיד מתבססת על שתי סיבות: הראשונה, היא זקוקה רק לבינאריות של הקוד הזדוני כדי לשפר את האבטחה, ושנית, יש לה חששות בקשר לטיפול בחומרים מסווגים.
• בעקבות האירוע נקבעה מדיניות חדשה עבור כל האנליסטים בחברה: הם נדרשים למחוק כל חומר מסווג שנאסף במקרה במהלך מחקר נגד קוד זדוני.
• החקירה לא העלתה אף מקרה דומה בשנים 2015, 2016 או 2017.
• עד היום, לא זוהתה אף חדירה של גורם חיצוני, מלבד Duqu 2.0, אל רשתות מעבדת קספרסקי.

כדי לתמוך באובייקטיביות של החקירה הפנימית, מעבדת קספרסקי ביצעה אותה באמצעות אנליסטים שונים, כולל כאלה ממקור שאינו רוסי ואשר עובדים מחוץ לרוסיה, כדי להימנע מהאשמות בהטיית הממצאים.

ממצאים נוספים:

אחת מהחשיפות המוקדמות המרכזיות של החקירה הייתה כי המחשב במוקד החקירה הודבק ב- Mokes backdoor – קוד זדוני המאפשר גישה מרחוק למשתמשים זדוניים. כחלק מהחקירה, חוקרי מעבדת קספרסקי ביצעו מחקר עומק לגבי הדלת האחורית ולגבי טלמטריה אחרת שנשלחה מהמחשב ומתייחסת לאיומים שאינם קשורים ב- Equation.

• רקע על הדלת האחורית Curious Mokes

זהו מידע ידוע כי הדלת האחורית Mokes (הידוע גם כ-Smoke Bot או Smoke Loader) הופיעה לראשונה בפורומים רוסיים אפלים בשנת 2011, כשהפכה זמינה לרכישה. מחקר של מעבדת קספרסקי מראה כי במהלך התקופה שבין ספטמבר לנובמבר 2014, שרתי הפיקוד והשליטה של קוד זדוני זה נרשמו תחת זהות סינית בשם Zhou Lou. ניתוח עומק על בסיס הטלמטריה של מעבדת קספרסקי מראה כי סביר שהדלת האחורית Mokes  לא הייתה הקוד הזדוני היחיד שהדביק את המחשב במהלך האירוע המדובר, מכיוון שזוהו כלי הפעלה ו- Keygens בלתי חוקיים אחרים על אותו המחשב.

• קוד זדוני נוסף שאינו Equation

במהלך תקופה של חודשיים, המוצר התריע על 121 רכיבים של קוד זדוני שאינו של Equation: דלתות אחוריות, כלי פריצה, טרויאנים ו- Adware. כל ההתראות האלה, בשילוב הכמות המוגבלת של נתוני טלמטריה זמינים, מאפשרים לקבוע בוודאות כי המוצר שלנו זיהה את האיומים, אך לא ניתן לקבוע בוודאות אם הם אכן הופעלו במהלך התקופה בה המוצר היה מנוטרל.

מעבדת קספרסקי ממשיכה לחקור את הדוגמיות הזדוניות ותוצאות נוספות יפורסמו ברגע שהמחקר יסתיים.

מסקנות:

המסקנות הכוללות מהחקירה הן כדלהלן:

• תוכנת מעבדת קספרסקי פעלה כצפוי והתריעה לאנליסטים שלנו בהתאם לחתימות שנכתבו במיוחד כדי לזהות קוד זדוני של קבוצת Equation APT, אשר כבר הייתה בחקירה בששת החודשים שקדמו לכך. כל זאת בהתאם לתיאור המוכרז על דרך פעולת המוצר, ועל פי התרחישים והמסמכים החוקיים להם הסכים המשתמש בטרם התקנת התוכנה.

• חומרים שנחשדו לכאורה כמידע מסווג זוהו ובודדו, משום שנארזו כחלק מארכיב קבצים שעם זיהויו יצר התראה הקושרת אותו עם חתימת הקוד הזדוני של Equation.
• מעבר לקוד הזדוני, הארכיב גם בודד את מה שנראה כקוד מקור עבור הקוד הזדוני Equation APT וארבעה מסמכי וורד בעלי סימון מסווג. אין ברשות מעבדת קספרסקי מידע על תוכן המסמכים, מאחר והם נמחקו תוך מספר ימים.
• מעבדת קספרסקי אינה יכולה להעריך האם המידע "טופל כראוי" (על פי הנורמות של ממשלת ארה"ב) מאחר והאנליסטים שלנו לא הוכשרו כדי לטפל במידע אמריקני מסווג, והם אינם פועלים תחת מחויבות חוקית לכך. המידע לא שותף עם אף גורם חיצוני.
• בניגוד לפרסומים שונים בתקשורת, לא נמצאה אף עדות כי חוקרי מעבדת קספרסקי ניסו אי פעם לייצר חתימות "שקטות", שמטרתן לחפש מסמכים עם המילים "סודי יותר", "מסווג" או מילים אחרות.
• ההדבקה על ידי הדלת האחורית Mokes והדבקות אפשריות אחרות שאינן קשורות ב-Equation, מצביעות על האפשרות כי נתוני המשתמש הודלפו למספר בלתי ידוע של גורמים חיצוניים כתוצאה מגישה מרחוק שהתאפשרה למחשב.